Chúng ta thường nghe nói về Website bị nhiễm mã độc hay malware, nhưng có lẽ không nhiều người hiểu rõ malware là gì?

Cách thức chúng lây nhiễm và các hiện tượng khi Web bị cài mã độc?

Các loại Malware - Hiện tượng Web bị nhiễm mã độcTrong Topic trước, chúng ta đã nói về các Phương thức Hack Website phổ biến.

Khi Website bị hack, hackers thường chèn mã độc vào code & database để thực hiện các mục đích xấu hoặc tạo một ‘cửa hậu – backdoor’ nhằm xâm nhập dễ dàng sau này.

Trong Topic thứ 2 của chuyên đề Bảo mật Website WordPress trong khóa học Pro WP Master, chúng ta sẽ tìm hiểu đầy đủ về Malware, cũng như cách chúng thực hiện các tác động xấu lên Website và người vào Website.

WP Academy

Malware là gì?

Malware – từ ghép của Malicious Software tức phần mềm độc hại.

Với máy tính, thiết bị di động thì Malware ở dưới dạng phần mềm, ứng dụng. Còn với Website nó nằm dưới dạng các đoạn code – mã độc.

Malware gồm những gì?

Chúng ta thường nhầm lẫn Malware và Viruses hay Trojan.

Thực ra Malware bao hàm tất cả các chương trình gây hại trên máy tính, website : virus, worm, trojan, backdoor, spyware, adware…

Virus là gì?

Virus là loại malware lây nhiễm vào các phần mềm khác để gây hại, có khả năng tự nhân bản để lây lan.

Sâu máy tính – Worm là gì?

Worms: sâu máy tính – tương tự viruses nhưng có cơ chế hoạt động và sinh sản độc lập, không dùng cách ‘kí sinh’ vào các phần mềm khác như viruses

Trojan là gì?

Trojan là loại malware hoạt động dưới vỏ bọc là một phần mềm hữu ích, nó cố tình cho người dùng thấy các tính năng có ích (như diệt viruses chẳng hạn) nhưng ẩn bên dưới là các ý đồ xấu như thâm nhập để ăn cắp dữ liệu…

Trojan không có cơ chế tự sinh sản như viruses, worm nhưng nó có cơ chế tự hủy.

Cái tên Trojan được lấy cảm hứng từ điển tích Con ngựa thành Troia trong thần thoại Hy Lạp – Một con ngựa gỗ quân Hy Lạp cố tình ‘dâng’ cho kẻ thù Troia- nhưng bên trong lại có binh lính Hy Lạp ẩn nấu để tối mở cửa thành đón ‘phe ta’ vào.

Roolkit là gì?

Roolkit là phần mềm được kẻ xâm nhập cài vào – hoạt động ẩn mình để kẻ xâm nhập có thể xâm nhập tiếp các lần sau.

Hình dung như bạn bẻ khóa vào một tòa lâu đài, rồi bên trong bạn tạo một cửa phụ bí mật để sau này không cần bẻ khóa nữa – cứ mở ‘cửa phụ’ mà vào.

Backdoor là gì?

Backdoor – tức cửa hậu, là cách thức hacker can thiệp vào phần mềm, mã nguồn… để có thể truy cập vào máy tính, ứng dụng hoặc Website mà người dùng không biết được.

Với Website, Backdoor thường nằm dưới dạng các đoạn mã chèn vào mã nguồn, themes, plugins hay database…

Hầu như lúc nào hacker thâm nhập được hoàn toàn vào Website, họ đều sẽ để lại backdoor nhằm try cập lại sau này.

Ngoài ra malwares còn có các loại như adware (phần mềm chứa quảng cáo), spyware (phần mềm gián điệp), keylogger (phần mềm ghi lại hoạt động trên bàn phím)…

Các loại mã độc (Malware) có trên Website

Đặc thù của việc kiếm tiền dựa vào mã độc trên Website, thì Malware trên Website được phân loại như sau:

Malicious iframes (Malframes)

Các HTML iframe chứa nội dung các Website, videos..độc hại, lừa đảo, spam…

IFrame có thể chèn trực tiếp vào code của template hoặc mã hóa trong các đoạn mã javascript.

Conditional redirections

Chèn code chuyển hướng các trang sang những Website độc hại.

Nếu thiết bị có cài phần mềm diệt Virus thường bạn sẽ bị cảnh báo nếu vào các Website bị chèn malware để chuyển hướng sang nhiều Website độc hại.

redirect malware - bị phần mềm diệt virus chặn

Google, FireFox, các trình duyệt phổ biến cũng cảnh báo khi site bị redirect sang web độc.

SEO Spam

Chèn bài viết hoặc link xấu vào website, gây hại cho SEO.

Cách tấn công này rất độc hại và tinh vi vì malware thường ẩn các nội dung spam trên Website, mà chỉ hiển thị nó cho Search Engine.

Tiểu biểu là Japanese SEO spam – thay các thông tin trên kết quả tìm kiếm bằng nội dung Spam tiếng Nhật (thường là quảng cáo đồ điện tử, hoặc thuốc men…)

Các mục đích Blackhat SEO cũng có thể chèn code để sinh ra hàng loạt backlinks trỏ về các website khác nhằm đẩy nhanh tốc độ rank của các site seo-blackhat.

Malicious Scripts

Cài các đoạn mã js thực thi trên trình duyệt khi người dùng vào Websites để ăn cắp thông tin người dùng (như cookie, mật khẩu, thông tin thẻ visa…)

Malware Script

Defacements

Chèn code với mục đích phá hoại các tính năng trên Website.

Deface Attack thường có mục đích phát tán các thông điệp xấu, gây tiếng vang trong cộng đồng hacker hoặc làm mất uy tín của Website bị tấn công.

Website sân bay Tân sơn nhất bị Hack
Website sân bay Tân sơn nhất bị Hack

Thường Deface Attack sẽ thay toàn bộ nội dung Website bằng thông điệp của Hacker.

Phishing

Chèn thông tin lừa đảo, kiểu như nhập thông tin thẻ VISA để nhận quà tặng…

Hình thức phổ biến là hacker chèn một chương trình giống hệt trang login FB, khi bạn nhập thông tin login, tài khoản sẽ gởi về cho Hacker.

Phishing Malware

Dạng này bạn sẽ gặp rất nhiều, nó gây thiệt hại cho người dùng và làm cho Website mang tiếng lừa đảo.

Backdoors

Tạo lối tắt – cửa hậu để thâm nhập và điều khiển Website từ xa.

Khi hacker xâm nhập vào Website thì việc chèn một đoạn code backdoor trở nên rất dễ dàng.

Backdoor Malware

Ví dụ, một đoạn code sẽ tạo ra một user account với quyền quản trị , ví dụ user: anh-la-hack, pass: hack2019 được thực hiện khi truy cập vao đường link như sau:

  • https://web-bi-hack.com/hay-tao-admin-user-cho-anh

Với ‘backdoor’ này, bạn có xóa user anh-la-hack bao nhiêu lần đi nữa, chỉ cần hacker vào link trên thì user sẽ tự động được tạo lại.

Viết một đoạn code PHP tạo backdoor này thực sự rất dể dàng, và ẩn nó đi cũng cực kỳ dễ. Nên khi bạn dùng themes, plugins hay mã nguồn website từ các nguồn độc hại thì nguy cơ rước trộm vào nhà là rất cao.

Các hiện tượng phổ biến khi Website nhiễm Malware

Một trong những nguyên nhân khiến Website bị hack gây nên những hậu quả nghiêm trọng là chúng ta không phát hiện được ngay, mà chỉ khi nó giở chứng thì mới nhận biết được.

Thường khi đó mọi thứ đã trở nên phức tạp!

Một số hiện tượng để bạn nhận biết Website đã bị hack và chèn mã độc là:

Nhiều phiên login Admin từ IP không phải của bạn

Nguyên nhân: bạn đã bị dò trúng mật khẩu hoặc cài backdoor

Nếu Website chỉ có mình bạn có tài khoản, thì khi bạn login, file log sẽ lưu lại thông tin ip mạng máy tính bạn dùng.

Nếu có những phiên truy cập khác thành công từ IP khác, tức là user của bạn đã bị lộ rồi.

Bạn có thể theo dõi thông tin login khi cài plugin miễn phí:

User Login History

Kiểm tra user log

Bị tự động chuyển hướng sang các Website khác

Nguyên nhân: website bị chèn malware Conditional redirections

Đây là hiện tượng thường gặp nhất khi site đã bị hack một thời gian, link xấu đã được chèn vào code hoặc database (hoặc cả hai).

Người dùng vào trang hoặc một bài viết nào đó liền bị redirect về các trang web xấu như quảng cáo kiếm tiền, lừa đảo, web độc hại….

Mẹ cha bọn lừa đảo
Mẹ cha bọn lừa đảo

Ví dụ khác như “Anh chàng thất nghiệp kiếm 1 triệu đô trong 1 tuần” (mẹ cha bọn lừa đảo!!!)

Không may là hầu hết người dùng sẽ không báo với bạn, có lẽ vì họ nghĩ bạn tự chèn code redirect để kiếm tiền.

Bạn chỉ phát hiện được khi có ai đó tốt bụng báo lại hoặc bạn tự vào site và nhận ra (thường chúng ta quá lười để xem lại nội dung trên site của mình).

Trang web bị chèn nội dung lạ

Nguyên nhân: bị cài mã độc để hiển thị nội dung xấu, spam trên website

Khi hacker tạo được user trong database, họ có thể đăng hàng loạt nội dung lên website, có thể là bài viết mới hoặc chèn vào một phần bài viết có sẵn.

iFrame Malware Web bị chèn mã độc - tiếng Nhật

Cách thức này cực kỳ nguy hại, nội dung xấu – lừa đảo.. sẽ khiến người dùng quay lưng với website. Đặc biệt Google sẽ phạt rất nặng nếu Website chứa các loại nội dung độc hại.

Bị chèn quảng cáo trong nội dung – sidebar

Nguyên nhân: bị cài code quảng cáo

Cái này khó phát hiện hơn redirect, nếu malware chèn quảng cáo kiếm tiền vào nội dung thì có khi người dùng lẫn bạn đều không biết nếu trình duyệt có addons Adblock, nó không cho quảng cáo hiển thị bạn phải tắt các addons này rồi check mới chính xác.

Malware Ads

Nhiều người dùng vào Website thấy quảng cáo sẽ nghĩ do chính chủ website đặt nên họ không nghĩ đến việc report, nếu quảng cáo xấu (khiêu dâm, lừa đảo, đánh bạc..) sẽ gây mất uy tín nặng nề.

Bị các trình duyệt chặn truy cập hoặc cảnh báo nguy hiểm

Nguyên nhân: bị cài malware với tính năng lừa đảo hoặc ăn cắp thông tin người dùng, hoặc redirect về các trang web độc hại nằm trong Blacklist của Google, Bing..

Khi nội dung bị chèn links dẫn tới các trang web xấu, hoặc code bị cài các đoạn mã độc đánh cắp thông tin của người dùng… Thì hầu hết các trình duyệt sẽ cảnh bảo nguy hiểm.

Trình duyệt Block Website bị nhiễm Malware

Cái này dễ phát hiện nhất, nhưng khi bạn phát hiện có thể đã đến ‘giai đoạn cuối’ nếu mã độc chèn và thay đổi code gốc của theme, plugin hoặc băm nát database.

Lúc này việc xử lý sẽ cần rất nhiều thời gian và kinh nghiệm mà người dùng bình thường khó mà tự làm được.

Hiển thị nội dung lạ trên kết quả tìm kiếm

Nguyên nhân: Bị nhiễm Malware SEO spam

Một loại Malware thâm độc – chèn mã độc để thay thế nội dung của bạn bằng cách nội dung Spam một cách tinh vi.

Nội dung gốc của bạn vẫn hiển thị khi người dùng vào Website, nhưng Tiêu đề và phần miêu tả, ảnh đại diện trên kết quả tìm kiếm có thể bị thay thế bằng thông tin Spam.

Thường gặp nhất là Pharma Spam – thông tin quản cáo các loại ‘thần dược’ trị bách bệnh – chống lão hóa…

Pharma Hack

Loại thứ 2 là các thông tin quảng cáo các mặc hàng điện tử tiếng Nhật – gọi là Japanese Spam.

Web bị nhiễm mã độc SEO Spam

Cả 2 loại này đều khiến Website của bạn tạo ấn tượng xấu với người dùng và nguy cơ cao bị Google đưa vào Blacklist.

Bị Google phạt (gắn cờ – penalized, punish)

Nguyên nhân: Bị hack và chèn malware nguy hiểm – thường diễn ra một thời gian khá lâu trước khi bị Google phạt

Đây là hiện tượng chỉ xảy ra khi bạn đã bị hack khá lâu rồi.

Code và database bị chèn mã độc, baclinks xấu (Outbound links trỏ về các trang Web xấu). Google sẽ cập nhật các dữ liệuết quả tìm kiếm nữa.

Lúc này trong Google Search Console sẽ hiển thị một Manual Actions hoặc cảnh báo Security để bạn xử lý vấn đề triệt để.

Google cảnh báo Web bị nhiễm mã độc

Sau khi xử lý vấn đề xong, bạn phải tạo một Request để Google xem xét và gỡ bỏ án phạt.

Việc này mất từ vài tuần đến 1 tháng, không phân biệt web bạn lớn hay nhỏ, nhà bạn có ông chú làm ở đâu – Với Google thì thằng chú cũng như thằng cháu thôi, … cứ từ từ.

Nhiều trường hợp phải build lại Web và copy lại nội dung từ đầu vì database và code đã bị mã độc ăn quá sâu, thời gian sửa gấp nhiều lần thời gian làm lại từ đầu.

Khỏi phải nói, khi keyword được rank trở lại thì những thằng khác đã chiếm TOP đầu rồi.

Bỗng dưng không thể rank & bị tụt thứ hạng từ khóa nhanh chóng

Nguyên nhân: web bị hack, cài mã độc hoặc sử dụng các domain con (sub-domain) và các website nằm trên sub-domain bị Google đưa vào blacklist.

Hiện tượng này là Google phạt nhưng không thèm gởi tin nhắn vào Google Messages, cũng không tạo cảnh báo Security/ Manual Actions trong Google Search Console (hoặc nó phạt trước rồi thông báo …. cứ từ từ).

Keyword đã được rank của bạn sẽ bị tụt thứ hạng nhanh hơn cả tụt (*) khi Tào Tháo rượt.

Rank từ khóa bỗng rớt nhanh vì Malware

Còn các bài viết mới, nội dung cực kỳ hoành tráng nhưng mãi không thấy Google rank lên TOP, tìm hoài trang số 1, 2 … 5 cũng không thấy Website bạn đâu, chỉ thấy khi gõ từ khóa + tên miền. Tức là Google vẫn Index bài viết nhưng không rank keyword nữa!

Cái này chỉ có anh em nghiện ‘keyword research’ mới phát hiện ra được, nếu bạn thuộc tuýp ‘lãnh đạm’ với SEO Competition thì có khi Website biến mất khỏi Google bạn mới nhận ra mình bị Hacker cắm sừng!

Nhiều Outbound links lạ đến các domain khác

Nguyên nhân: bị nhiễm Malware, có thể gồm tất cả các loại malware ở trên

Hiện tượng này cũng dành cho anh em nghiện SEO, thường xuyên check Inbound & Outbound links.

Outbound links tức là links trên site bạn trỏ về các site khác. Thường chúng ta chỉ có các outbound link khi chèn link tham khảo vào nội dung, cho phép người bình luận được thêm link website khi bình luận…

Malware chèn bad links vào Website

Nếu bạn check outbound links mà gặp các domain lạ hoắc, bằng tiếng nước ngoài thì cần hành động ngay nhé!

Giao diện bị thay đổi

Nguyên nhân: đã bị hack và chiếm quyền Admin hoặc cài backdoor

Nếu Website bị nhiễm malware loại Defacements thì nó sẽ ăn vào trong code của theme, plugin và cả WordPress core, làm cho các file code bị lỗi không còn hoạt động được nữa.

Hiện tượng này khó nhận biết nếu nó trùng lặp với các lỗi do tương thích plugins, lỗi PHP hay các lỗi liên quan đến việc chỉnh sửa code, tùy biến giao diện.

Trường hơp dễ nhận biết nhất là hacker thay giao diện mặc định thành thông điệp của họ hoặc các nội dung lừa đảo, phát tán tin xấu…

VFF bị hacker

Không thể Login được vào Site

Nguyên nhân: đã bị hack và chiếm quyền Admin

Tức là thông tin Admin của site đã bị đổi – bạn bị cướp đuổi ra khỏi nhà mình rồi!

Hacker chiếm quyền Admin

Tưởng là tin xấu nhưng đây là một trong những tin ‘ít xấu’ nhất so với các trường hợp trên, vì bạn hoàn toàn có thể lấy lại thông tin Admin, đá thằng cướp kia bằng cách login vào Hosting và sửa lại Database.

Hoặc nhờ bên support Hosting làm giúp!

Nhưng, đó là nếu thằng kia cướp cho vui, nếu nó phá phách tan hoang nhà bạn thì hậu quả cũng như các vấn đề đã đề cập ở trên.

Dù sao, nếu nó chiếm quyền Admin thì bạn cũng được báo tin sớm so với nhiều trường hợp khác. Qua đó có thể xoắn tay áo lên xử lý vấn đề thay vì vẫn vô tư như chưa có gì xảy ra!

Bị dịch vụ Hosting/ VPS Suspended

Nguyên nhân: bị nhiễm Malware nguy hiểm, gây hại đến các website khác hoặc gây quá tải máy chủ, một nguyên nhân nữa là bị hack và sử dụng Website làm nguồn tấn công DDos các Website khác.

Thường gặp nhất là khi bạn dùng shared hosting, nếu Website bị nhiễm mã độc nặng hoặc bị lợi dụng để gởi các truy vấn tấn công DDos thì sẽ bị nhà cung cấp suspended để chặn nguy cơ lây nhiễm hoặc làm quá tải máy chủ.

Vì sao Hosting bị suspended

Với VPS thì thường là Website bị nhiễm mã độc nếu phát tán các thông tin xấu, lừa đảo, vi phạm bản quyền… thì cũng bị nhà cung cấp VPS suspended.

Đối với các dịch vụ hosting/ vps uy tín, họ luôn gởi kèm thông báo nguyên nhân khi suspended gói dịch vụ của khách hàng.

Hosting bị ban vì Malware

Tóm tắt

Hiểu được các loại malware trên Website và cách thức chúng tấn công, cũng như hiện tượng khi web bị nhiễm mã độc sẽ giúp chúng ta nhận diện được các nguy cơ phổ biến và phòng chống – cũng như xử lý khi bị nhiễm malware.

Trong topic tiếp theo, chúng ta sẽ đề cập và các nguyên nhân web dễ bị hack và các phương pháp bảo mật Website hiệu quả nhất 2019!

Các loại malware & hiện tượng Website bị nhiễm mã độc
5 (100%) 13 vote[s]

LEAVE A REPLY

Please enter your comment!
Please enter your name here