Bạn đã bao giờ trải qua cơn hoảng loạn đó chưa? Nơi mà bạn nhận trang web của mình có thể đang ẩn chứa mã độc (hay là virus)? Đó là một ngày website của bạn đang hoạt động bình thường cho đến khi không còn như vậy đặc biệt là khi nói đến tình trạng hoạt động của trang WordPress của bạn. Giống như một bác sĩ với ống nghe, việc quét cơ sở dữ liệu WordPress để tìm phần mềm độc hại là điều mà bạn cần phải bắt đầu và bài viết này sẽ hướng dẫn bạn biết mình phải làm gì.
Đây không phải là điều đáng sợ, đây là lời cảnh tỉnh dành cho bạn, trang web của bạn có thể bị xâm phạm mã độc một cách âm thầm. Các mã độc gây hại trên mạng ẩn nấp trong những ngóc ngách tối tăm nhất trong cơ sở dữ liệu của bạn và tôi ở đây để hướng dẫn bạn quá trình quét, từng byte một.
Đến cuối bài viết? Bạn sẽ là một thám tử theo đúng nghĩa của mình; đôi mắt được đào tạo để phát hiện các chiến thuật lén lút của phần mềm độc hại. Từ các plugin bảo mật đến loại bỏ phần mềm độc hại trong cơ sở dữ liệu , chúng ta sẽ vượt qua mê cung phần mềm độc hại WordPress SQL và hơn thế nữa.
Website hay cơ sở dữ liệu bị tấn công – Nó xảy ra như thế nào?
Phần mềm độc hại xâm nhập vào cơ sở dữ liệu thông qua mã tiêm trong tệp WordPress. Nếu những tệp này không được làm sạch trước, mã sẽ chèn lại phần mềm độc hại vào cơ sở dữ liệu.
Tiêm tệp hoặc cơ sở dữ liệu là việc chèn mã vào tệp hệ thống hoặc cơ sở dữ liệu. Mã này cho phép truy cập cho tin tặc.
Việc tiêm cơ sở dữ liệu khá nguy hiểm. Văn bản được sử dụng trong các bản ghi khác nhau có thể được xây dựng lại thành các lệnh độc hại bằng một truy vấn đơn giản.
WordPress sử dụng một cơ sở dữ liệu MySQL duy nhất. Nó chứa tất cả thông tin và cài đặt cần thiết cho việc quản trị trang web.
Điều đó làm cho cơ sở dữ liệu trở thành mục tiêu dễ dàng và việc tiêm chích trở thành mối đe dọa phổ biến.
Trước khi quét cơ sở dữ liệu, hãy đảm bảo:
- Quét tất cả các tệp WordPress và xóa tất cả phần mềm độc hại.
- Sao lưu cơ sở dữ liệu và tập tin. Nếu máy chủ web không có bất kỳ bản sao lưu nào, hãy tải nội dung của máy chủ tệp và cơ sở dữ liệu xuống môi trường cục bộ.
Sau khi thực hiện việc này, giờ đây bạn có thể quét cơ sở dữ liệu WordPress để tìm phần mềm độc hại. Hãy đọc để tìm hiểu làm thế nào để làm điều đó.
Cách quét và làm sạch cơ sở dữ liệu WordPress theo cách thủ công
Thực hiện quét và dọn dẹp thủ công mất rất nhiều thời gian. Ngoài ra còn có khả năng thiếu một số phần mềm độc hại ẩn.
Bất kỳ sai sót nào, chẳng hạn như xóa nhầm bảng hoặc xóa một phần mã sạch, đều có thể dẫn đến trang web bị hỏng.
Có hai dấu hiệu thường gặp của phần mềm độc hại: Hàm PHP độc hại và Liên kết hoặc iFrame không xác định. Đặt ra dưới đây là cách tìm chúng theo cách thủ công.
Các hàm PHP độc hại
Có một số hàm và lệnh PHP mà tin tặc thích sử dụng. Bản thân chúng không độc hại và có thể sử dụng chúng một cách có đạo đức.
Tuy nhiên, nếu có thì cơ sở dữ liệu có thể đã bị nhiễm virus.
Để xác định sự lây nhiễm cơ sở dữ liệu, hãy tìm các mã có khả năng độc hại. Chúng bao gồm base64_decode, gzinflate, error_reporting(0) và shell_exec.
Tuy nhiên, hãy nhớ rằng những mã như vậy không độc hại trong mọi trường hợp. Một số lập trình viên sử dụng các mã này để thực hiện một số chức năng hợp pháp.
Liên kết hoặc iFrame không xác định
Xem qua nội dung của trang web sẽ giúp nhận ra những mục khác cần tìm. Một trang web bị nhiễm virus thường có các iFrame độc hại và các liên kết chuyển hướng.
Các hacker (Tin tặc) đưa các liên kết và iFrame không xác định vào trang web và ngụy trang chúng. Vì vậy cần phải kiểm tra mã trang web để chọn ra chúng.
Một cách để làm điều đó là hiển thị và xem lại mã bằng công cụ có tên Online cURL. Tìm kiếm bất kỳ mã hoặc văn bản không mong muốn nào, chẳng hạn như tên của một loại dược phẩm.
Tiếp theo, chúng ta sẽ xem xét việc cơ sở dữ liệu có bị nhiễm mã độc hay không?
Bước 1: Xuất cơ sở dữ liệu SQL
Để tìm kiếm trong cơ sở dữ liệu, trước tiên, hãy xuất cơ sở dữ liệu đó dưới dạng văn bản. Điều này có thể thực hiện được thông qua công cụ cơ sở dữ liệu do máy chủ web cung cấp.
Phần giải thích bên dưới nêu chi tiết cách thực hiện việc này bằng phpMyAdmin.
PhpMyAdmin cho phép người dùng quản lý cơ sở dữ liệu của họ. Nó thường được cài đặt trong hầu hết các môi trường lưu trữ.
Sử dụng tùy chọn xuất trong bảng phpMyAdmin để xuất toàn bộ cơ sở dữ liệu. Lưu nó vào thư mục “backup” trên máy tính của bạn.
Đầu tiên, đăng nhập vào bảng điều khiển cPanel, cuộn đến phần “Cơ sở dữ liệu” và nhấp vào phpMyAdmin. Tiếp theo, chọn cơ sở dữ liệu từ danh sách ở phía bên trái.
Sau đó, nhấp vào “Xuất” trong menu trên cùng. Phương thức xuất phải được đặt thành “Quick” và định dạng thành “SQL”.
Bấm vào “Go” và thế là xong.
Cuối cùng, mở nó bằng một trình soạn thảo văn bản dạng notepad và tìm những đoạn mã độc trong cơ sở dữ liệu của bạn.
Bước 2: Tìm kiếm cơ sở dữ liệu xuất
Bắt đầu bằng cách xem qua tệp SQL đã xuất để biết các hàm PHP có thể khai thác được.
Quá trình xem xét mã cURL có thể đã tiết lộ các liên kết, iFrame hoặc văn bản đáng ngờ. Nếu vậy, hãy tìm kiếm những thứ này trong báo cáo SQL của cơ sở dữ liệu.
Nếu bất kỳ phần mềm nào trong số chúng xuất hiện trong cơ sở dữ liệu, điều này cho thấy có thể bị nhiễm phần mềm độc hại.
Bạn có thể sử dụng Notepad++ hoặc cũng có thể sử dụng Sublime để mở tệp .SQL trực tiếp. Sau đó, sử dụng Ctrl+f để tìm nội dung độc hại trong cơ sở dữ liệu.
Tìm kiếm các từ khóa có các lệnh sau:
- Đối với iFrame: <iframe
- Đối với base64: base64_decode
- Đối với eval(): eval()
- Đối với tập lệnh: <script
Bước 3: Dọn dẹp cơ sở dữ liệu
Sau khi phát hiện cơ sở dữ liệu bị nhiễm trùng, điều quan trọng là phải thực hiện dọn dẹp. Kỹ thuật tốt nhất là khôi phục cơ sở dữ liệu về thời điểm trước khi bị lây nhiễm.
Điều này rất đơn giản đối với người dùng lên lịch sao lưu tự động. Nếu không, cần phải liên hệ với máy chủ web để được hỗ trợ.
Một phương pháp khác là tìm kiếm các liên kết, iFrame hoặc chức năng độc hại và xóa chúng theo cách thủ công khỏi tệp WordPress. Điều này đòi hỏi một lượng kiến thức nâng cao.
Thực hiện theo các bước dưới đây để hoàn thành nhiệm vụ này.
- Đăng nhập vào bảng quản trị cơ sở dữ liệu.
- Thực hiện sao lưu cơ sở dữ liệu.
- Tìm kiếm nội dung đáng ngờ (chẳng hạn như từ khóa hoặc liên kết spam).
- Mở bảng chứa nội dung đáng ngờ đó.
- Xóa nó theo cách thủ công.
- Kiểm tra trang web để xác nhận nó hoạt động tốt sau khi thay đổi.
- Xóa mọi công cụ truy cập cơ sở dữ liệu bạn đã cài đặt.
Người mới bắt đầu có thể sử dụng thông tin tải trọng do trình quét phần mềm độc hại cung cấp. Người dùng trung cấp cũng có thể tìm kiếm thủ công các hàm PHP độc hại thường xuyên.
Chúng sẽ bao gồm base64_decode, eval, gzinflate, preg_replace, str_replace, v.v.
Cách quét và làm sạch cơ sở dữ liệu WordPress bằng plugin
Sử dụng plugin là cách dễ dàng và hiệu quả để phát hiện mã độc, phần mềm độc hại và các mối đe dọa bảo mật khác.
Bảo vệ website của bạn với dịch vụ website chuyên nghiệp
Chuyển Động Số là công ty thiết kế website chuyên nghiệp, trên máy chủ website của chúng tôi cung cấp đầy đủ các công cụ bảo mật, phần mềm tìm kiếm và loại bỏ mã độc chuyên nghiệp, đồng thời được quản lý bởi các chuyên gia giàu kinh nghiệm sẽ giúp website của bạn luôn được an toàn.
Sử dụng dịch vụ hosting tại Chuyển Động Số, bạn sẽ không còn phải lo lắng về việc website của bạn gặp sự cố kỹ thuật hay website bị nhiễm mã độc bất cứ lúc nào.
Nếu website của bạn đang có vấn đề về sức khỏe hãy liên hệ với chúng tôi để được hỗ trợ