Và ở bài này, mình sẽ đề cập một xíu những việc nên làm và không nên làm, những công cụ nên sử dụng sau khi website bị hack để hỗ trợ phần nào trong việc vực dậy website từ “chiến trường đẫm máu”.
Backup dữ liệu – Việc tối thiểu phải làm
Nếu bây giờ website của bạn chưa bị hacker viếng thăm nhưng chưa sử dụng các phương thức sao lưu dữ liệu dự phòng thì hãy làm ngay bây giờ, càng sớm càng tốt và sao lưu càng thường xuyên càng tốt.Việc khôi phục các dữ liệu dự phòng nếu có biến cố xảy ra luôn là việc làm đầu tiên khi xảy ra tình trạng bị hack vì có thể các mã độc đã được gắn vào rất nhiều file trong hàng vạn file khác nhau trong mã nguồn. Cho nên việc tìm và sửa từng file sẽ vô cùng mất thời gian mà hãy để việc đó sau, việc bạn nên làm nếu có một dữ liệu dự phòng đó là:
- Xóa toàn bộ file mã nguồn và database hiện có.
- Khôi phục lại dữ liệu dự phòng.
- Áp dụng các phương thức bảo mật cơ bản và hạn chế local hack.
Các công cụ phát hiện mã độc
Mặc dù có thể bạn đã sao lưu lại dữ liệu dự phòng nhưng biết đâu được trong dữ liệu dự phòng lại có các file bị nhiễm mã độc, nên mình nghĩ bạn nên sử dụng ít nhất một công cụ phát hiện mã độc uy tín có trả phí như Sucuri hoặc 6Scan Basic, 2 công cụ này đều hỗ trợ quét mã độc trong toàn bộ mã nguồn hàng giờ hoặc hàng ngày, sau đó những kỹ thuật viên sẽ giúp bạn gỡ sạch toàn bộ mã độc này.
Nếu bạn có thể tải mã nguồn về máy tính để tìm thủ công thì càng tốt, bạn có thể nhờ các công cụ hỗ trợ tìm kiếm từ khóa gì đó trong các file bằng công cụ như FileSeek (Windows) để tìm mã độc thông qua các từ khóa như
base64_decode, gzinflate(base64_decode, eval(gzinflate(base64_decode, eval(base64_decode,..Dưới đây là ví dụ của một đoạn mã độc:
01
02
03
04
05
06
07
08
09
10
| <?php eval(base64_decode(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));?> |
Theo dõi sau khi phục hồi
Đừng quá chủ quan sau khi bạn khôi phục hoặc gỡ bỏ hoàn toàn các mã độc có trên website vì rất có thể bạn sẽ tiếp tục bị lại nếu như chưa xóa mã độc triệt để hoặc website chứa lỗ hổng. Vì vậy hãy nên theo dõi sát sao hoạt động của website sau khi hoạt động để xem các mã độc nếu được nhiễm lại thì xuất phát từ file nào, nó thâm nhập và sửa đổi file nào,…Trong WordPress có 2 công cụ rất tốt để làm việc này đó là WP Changes Tracker và WP Security Audit Log, cả 2 plugin này đều có chức năng theo dõi các hoạt động thay đổi trong website và mã nguồn.
Một số lời khuyên nhỏ để website an toàn hơn
- Không bao giờ đặt username là admin hoặc tương tự như vậy.
- Luôn đặt mật khẩu phức tạp và sử dụng các công cụ lưu mật khẩu như LastPass, StickyPassword, 1Password để đăng nhập.
- Không bao giờ sử dụng theme/plugin trả phí tải miễn phí từ người/website không rõ uy tín, nguồn gốc.
- Đừng bao giờ cài cái gì vào website theo sự chỉ đạo của một người chưa rõ uy tín hoặc gửi qua mail/Facebook,…
- Nên chặn một số quốc gia có tỷ lệ hacker/spammer cao và khốn nạn nhất thế giới như Trung Quốc, Nga, Ukraina, Ba Lan, Thổ Nhĩ Kỳ, Pakistan, Ấn Độ, Iraq, United Arab Empire.
- Nếu phát hiện website bị dính mã độc, điều đầu tiên là đóng website ngay lập tức.
- Luôn sử dụng plugin iThemes Security.
- Đừng bao giờ nghe ai mà CHMOD file/thư mục thành 777 hoặc 775. Cao nhất chỉ nên là 755.
- Đừng bao giờ sử dụng theme/plugin có sử dụng timthumb.php.
Không có nhận xét nào:
Đăng nhận xét