Tấn công vào WordPress: Nội dung rác

Chúng tôi đã phát hiện ra tình huống tấn công gây ảnh hưởng đến một số trang WordPress. Trong tình huống tấn công này, tin tặc có thể chiếm được quyền truy cập vào thông tin đăng nhập quản trị WordPress và tải tập tin lên tài khoản lưu trữ. Những tập tin này sau đó sẽ được dùng để đưa nội dung rác vào chủ đề và/hoặc cơ sở dữ liệu WordPress, tạo liên kết ẩn tới các trang lừa đảo.

Bạn có thể tìm hiểu thêm thông tin về các tình huống tấn công và cách giải quyết trong Sẽ thế nào nếu website của tôi bị tấn công?.

Dấu hiệu cho biết bạn đã bị tấn công

Vì cuộc tấn công tạo ra liên kết ẩn nên sẽ không hiển thị trên trang của bạn. Cách tốt nhất để xác định xem trang của bạn có bị ảnh hưởng hay không là xem mã nguồn của trang chủ. Để tránh truy cập vào trang chủ bị nhiễm độc, bạn nên sử dụng Google® Chrome hoặc Firefox® và truy cập vào view-source:http://[tên miền của bạn].

Trong cửa sổ này, bạn có thể tìm kiếm trong mã nguồn của mình để phát hiện những hình thức lừa đảo trực tuyến phổ biến, chẳng hạn như quảng cáo dược phẩm hoặc khoản vay ngắn hạn. Hãy thử tìm kiếm những từ khóa phổ biến sau:

  • ngày trả lương
  • dược phẩm
  • viagra
  • cialis

Biện pháp khắc phục

Cách đơn giản nhất để loại bỏ nội dung này là khôi phục nội dung và cơ sở dữ liệu website của bạn từ một bản khôi phục bạn biết chắc là không bị ảnh hưởng.

Nếu bạn không có bản sao lưu chắc chắn sạch, bạn có thể loại bỏ nội dung này theo cách thủ công. Có hai vị trí phổ biến cho nội dung này: phần tiêu đề chủ đề WordPress hoặc cơ sở dữ liệu WordPress của bạn.

Sửa chủ đề của bạn

Bạn có thể truy cập và sửa chủ đề WordPress trực tiếp thông qua bảng điều khiển quản trị WordPress. Nếu có bản sao lưu chủ đề, bạn chỉ cần cài đặt lại chủ đề thông qua menu Appearance (Giao diện) của WordPress.

Nếu không, bạn có thể trực tiếp xem mã tập tin. Để biết thông tin về cách sửa tập tin thông qua WordPress, vui lòng xem lại tài liệu của WordPress.org ở đây.

Từ đây, bạn có thể loại bỏ bất cứ liên kết nào phát hiện được.

Dọn sạch cơ sở dữ liệu của ban

Nếu tin tặc đặt liên kết độc hại trong cơ sở dữ liệu của bạn, liên kết thường được nhập ngược để tránh bị phát hiện (ví dụ: ‘tếk nêil' thay vì ‘liên kết'). Bạn có thể tìm kiếm liên kết này trong cơ sở dữ liệu của mình.

Trước khi thay đổi bất cứ điều gì đối với cơ sở dữ liệu, bạn nên tạo bản sao lưu (thông tin thêm).

Bạn có thể tìm kiếm thủ công các bảng thuộc cơ sở dữ liệu của mình trong tab Tìm kiếm của giao diện phpMyAdmin (thông tin thêm).

Bạn cũng có thể chạy truy vấn cơ sở dữ liệu sau từ tab SQL trong phpMyAdmin:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Truy vấn này chọn bất cứ nội dung nào từ bảng wp_options chứa dấu HTML div ngược. Bạn sẽ thấy kết quả tương tự như sau:

query results

Bạn có thể xem lại nội dung chi tiết bằng cách nhấp vào biểu tượng bút chì. Thao tác này sẽ giúp nội dung trong hàng hiển thị lớn hơn. Từ đây, bạn có thể sửa trực tiếp nội dung để loại bỏ mọi văn bản độc hại. Sau khi thực hiện thay đổi, hãy nhấp vào Quay lại trang trước để lưu. Nếu toàn bộ nội dung đều có vẻ độc hại, hãy nhấp vào Quay lại trang trước, rồi nhấp vào biểu tượng chữ X màu đỏ để loại bỏ mục nhập.

result details

Các tập tin bị tấn công khác

Sau khi đã làm sạch chủ đề và/hoặc cơ sở dữ liệu, bạn cần xem lại các tập tin trong tài khoản lưu trữ của mình để đảm bảo tập tin hoạt động bình thường. Sự tấn công này thường liên quan đến một vài tập tin:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Những tên này có vẻ hợp lệ nhưng tập tin có thể không hợp pháp. Bạn có thể xác định tập tin hợp pháp bằng cách xem mã tập tin hoặc so sánh ngày sửa đổi với các tập tin khác trong cùng thư mục.

Bạn nên loại bỏ hoặc đổi tên (và do đó vô hiệu hóa) mọi tập tin có vẻ độc hại.

Thông tin kỹ thuật

Mã mẫu

MD5Sums của tập tin độc hại đã biết

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Bài này có hữu ích không?
Cảm ơn về phản hồi của bạn. Để nói chuyện với một đại diện của dịch vụ khách hàng, vui lòng sử dụng số điện thoại hỗ trợ hoặc tùy chọn trò chuyện ở trên.
Rất vui vì chúng tôi đã giúp được bạn! Chúng tôi có thể làm gì thêm cho bạn?
Rất tiếc về điều đó. Vui lòng cho chúng tôi biết điều gì làm cho bạn bối rối và vì sao giải pháp không khắc phục được vấn đề này.