Quy trình quét mã độc website cơ bản cho người mới bắt đầuLink to heading

Quét mã độc Website thủ công là quá trình bạn tự mình kiểm tra và phân tích các tệp tin, cơ sở dữ liệu của website để tìm kiếm và làm sạch virus mã độc. Mặc dù có nhiều công cụ quét malware trực tuyến, nhưng việc kiểm tra thủ công giúp bạn hiểu sâu hơn về website của mình và đôi khi phát hiện được những mã độc tinh vi mà những công cụ quét tự động bỏ sót. 

Trong bài viết này, System443 sẽ giới thiệu đến bạn một quy trình quét virus cho website chi tiết, giúp bạn bảo vệ website toàn diện trước các cuộc tấn công mạng ngày càng tinh vi.

>>> Nếu bạn chưa hiểu rõ khái niệm mã độc website hoặc chưa biết cách nhận diện khi website bị dính mã độc, hãy tham khảo bài viết: Dấu hiệu nhận biết và cách xử lý Website bị dính mã độc để có cái nhìn tổng quan trước khi bắt đầu quét và làm sạch.

Chuẩn bị trước khi quét virus websiteLink to heading

Sao lưu toàn bộ WebsiteLink to heading

Tuyệt đối không bao giờ bỏ qua bước này khi quét mã độc Website. Nếu bạn xóa nhầm file hoặc làm hỏng website trong quá trình làm sạch, bạn vẫn có bản sao lưu để khôi phục. Để sao lưu toàn bộ website bạn cần thực hiện các bước sau:

1. Đăng nhập vào cPanel (hoặc bảng điều khiển hosting của bạn), tìm phần "Backup" hoặc "Backup Wizard". 
2. Thực hiện sao lưu đầy đủ các tệp tin (Files/Home Directory) và cơ sở dữ liệu (Databases). 
3. Tải bản sao lưu này về máy tính cá nhân của bạn.

Nếu bạn dùng WordPress, có thể sử dụng các plugin backup như UpdraftPlus, All-in-One WP Migration để tạo bản sao lưu toàn diện.

Đăng nhập vào hệ thống quản lý File (FTP/SSH/cPanel File Manager)Link to heading

Bạn cần quyền truy cập vào các tệp tin trên máy chủ hosting của mình.

• FTP (File Transfer Protocol): Sử dụng các phần mềm như FileZilla, Cyberduck để kết nối và duyệt các tệp tin.
• SSH (Secure Shell): Nếu bạn có kiến thức về dòng lệnh, SSH cho phép bạn truy cập sâu hơn và thao tác nhanh hơn với các tệp tin trên máy chủ.
• cPanel File Manager: Đây là cách dễ nhất cho người mới bắt đầu, truy cập trực tiếp các tệp tin thông qua trình duyệt web trên bảng điều khiển hosting.

Đưa Website về chế độ bảo trì (Maintenance Mode)Link to heading

Điều này sẽ giúp ngăn chặn người dùng truy cập website trong quá trình bạn kiểm tra/làm sạch, tránh ảnh hưởng đến trải nghiệm của họ và ngăn mã độc tiếp tục lây lan/hoạt động. Cách thực hiện như sau:

• Với WordPress: Sử dụng plugin như WP Maintenance Mode, SeedProd hoặc thêm đoạn mã vào file functions.php của theme đang dùng để kích hoạt chế độ bảo trì.
• Với các website khác/thủ công: Tạo một file index.html đơn giản với thông báo "Website đang bảo trì" và tải nó lên thư mục gốc của website. Đổi tên file index.php (hoặc file chính của website) thành tên khác tạm thời để index.html được load.

Xác định các dấu hiệu ban đầu và phân tíchLink to heading

Trước khi đi sâu vào các tệp tin, hãy thu thập thông tin về tình trạng hiện tại của website để quá trình quét mã độc Website diễn ra suôn sẻ.

Kiểm tra Google Search ConsoleLink to heading

1. Đăng nhập vào tài khoản Google Search Console của bạn.
2. Kiểm tra phần "Bảo mật & Hành động thủ công" (Security & Manual actions) để xem Google có phát hiện website của bạn bị nhiễm mã độc hoặc bị đưa vào danh sách đen (blacklist) không.
3. Kiểm tra "Thông báo" (Messages) để xem có cảnh báo nào từ Google về website không.

Sử dụng công cụ quét mã độc OnlineLink to heading

Các công cụ này quét website từ bên ngoài và có thể nhanh chóng chỉ ra một số vấn đề phổ biến như mã độc ẩn, spam SEO hoặc bị đưa vào blacklist.

Công cụ Virus Web Scan gợi ý:

• System443 (system443.com/quet-ma-doc): Chỉ cần nhập URL, hệ thống sẽ tự động phân tích và cảnh báo nếu phát hiện mã độc.
• Sucuri SiteCheck (sitecheck.sucuri.net): Cung cấp báo cáo khá chi tiết về malware, blacklist, lỗi SEO spam.
• VirusTotal (virustotal.com/gui/home/url): Kiểm tra URL của bạn qua nhiều engine diệt virus.

Lưu ý: Các công cụ dò quét virus này chỉ quét từ bên ngoài, không truy cập vào các tệp tin nội bộ trên máy chủ của bạn, nên chúng không thể phát hiện tất cả các loại mã độc.

>>> Nếu bạn đang sử dụng WordPress, hãy xem hướng dẫn quét mã độc WordPress nhanh chóng và hiệu quả.

Kiểm tra nhật ký truy cập (Access Logs & Error Logs)Link to heading

Đăng nhập vào cPanel (hoặc bảng điều khiển hosting), tìm phần "Logs" hoặc "Raw Access Logs".

Tìm kiếm các hoạt động bất thường:

• Các yêu cầu (requests) đến các file lạ, không tồn tại.
• Lưu lượng truy cập bất thường từ các IP lạ.
• Các lỗi 404 (Not Found) cho các file mà bạn không biết.
• Các lỗi 500 (Internal Server Error) bất thường.

Điều này có thể chỉ ra các cuộc tấn công đang diễn ra hoặc những file mã độc đang cố gắng hoạt động.

Kiểm tra các tệp tin đáng ngờLink to heading

Để quét mã độc Website bạn cần nhớ đây là giai đoạn bạn sẽ trực tiếp kiểm tra các tệp tin trên hosting để chuẩn bị quét rác diệt virus.

Kiểm tra các File mới/bị sửa đổi gần đâyLink to heading

1. Sử dụng FTP client (ví dụ: FileZilla) hoặc cPanel File Manager để sắp xếp các tệp tin theo ngày sửa đổi (Date Modified) giảm dần.
2. Tìm kiếm bất kỳ tệp tin nào được sửa đổi trong thời gian gần đây (sau khi website bị tấn công) mà bạn không tự mình thực hiện.
3. Đặc biệt chú ý đến các tệp có đuôi .php, .js, .css hoặc các tệp lạ không có đuôi.
4. Tìm kiếm các tệp mới có tên lạ, khó hiểu (ví dụ: aajshd.php, wp-vcd.php, cache.php).

Kiểm tra các thư mục cốt lõiLink to heading

Thư mục WordPress core

/wp-admin/, /wp-includes/, /wp-content/

• Đảm bảo không có tệp tin lạ nào trong các thư mục này ngoài những tệp gốc của WordPress.

Thư mục Themes và Plugins

/wp-content/themes/ và /wp-content/plugins/

• Kiểm tra từng theme và plugin đang cài đặt. Mã độc thường ẩn mình trong các file của theme/plugin để tránh bị phát hiện.
• Tìm kiếm các tệp tin có tên lạ, tệp có chức năng eval, base64_decode, gzinflate... được chèn vào các tệp tin hợp pháp như functions.php, header.php, footer.php, index.php của theme/plugin.
• Kiểm tra các tệp index.php trong các thư mục con của theme/plugin để xem có bị chèn mã độc không.

Tìm kiếm File lạ ở các vị trí không mong muốnLink to heading

Mã độc có thể được tải lên các thư mục tạm thời, thư mục upload hoặc các thư mục không liên quan.

• Kiểm tra các thư mục như /uploads/, /tmp/ (nếu có quyền truy cập), hoặc các thư mục con trong /wp-content/ (nếu dùng WordPress).
• Tìm các tệp tin có đuôi .php hoặc các tệp thực thi lạ ở những nơi chúng không nên xuất hiện.

Phân tích nội dung tệp tinLink to heading

Để quá trình quét mã độc Website diễn ra nhanh chóng bạn cần phân tích nội dung tệp tin để phát hiện và loại bỏ các tệp tin chứa mã độc.

Tìm kiếm mã độc phổ biến trong CodeLink to heading

• Mở các tệp .php, .js nghi ngờ bằng trình soạn thảo văn bản (ví dụ: Notepad++, Sublime Text, VS Code).
• Tìm kiếm các hàm PHP/JavaScript thường được dùng trong mã độc: base64_decode, eval, gzinflate, str_rot13, exec, shell_exec, passthru, system, preg_replace với /e modifier.
• Mã độc thường được mã hóa hoặc làm rối để che giấu. Hãy tìm kiếm các chuỗi dài ký tự không có nghĩa hoặc các đoạn mã bất thường ở đầu/cuối tệp tin hợp pháp.

Kiểm tra mã JavaScript và iFrames đáng ngờLink to heading

• Kiểm tra các tệp .js hoặc các đoạn mã JavaScript được chèn trong các tệp .php, .html.
• Tìm kiếm các mã JavaScript không rõ nguồn gốc, đặc biệt là các mã cố gắng tải script từ các tên miền lạ, hoặc tạo iframe ẩn.
• Mã độc có thể chèn các iframe ẩn vào website để tải nội dung độc hại hoặc chuyển hướng người dùng.

Kiểm tra các tệp .htaccess và wp-config.phpLink to heading

• .htaccess: Đây là tệp cấu hình máy chủ, mã độc thường sửa đổi nó để chuyển hướng người dùng đến các trang độc hại, chặn truy cập quản trị, hoặc cho phép thực thi các tệp độc hại. Hãy so sánh với tệp .htaccess gốc của WordPress hoặc bản sao lưu sạch.
• wp-config.php: Chứa thông tin nhạy cảm về cơ sở dữ liệu. Mã độc có thể chèn thêm đoạn mã để kết nối đến các cơ sở dữ liệu bên ngoài, hoặc thay đổi cài đặt bảo mật.

So sánh với bản gốcLink to heading

So sánh các File WordPress Core với bản sao lưu sạchLink to heading

• Tải một bản cài đặt WordPress mới nhất từ wordpress.org về máy tính của bạn.
• So sánh các tệp tin trong bản cài đặt gốc với các tệp tin trên hosting của bạn (đặc biệt là các thư mục wp-admin và wp-includes). Sử dụng công cụ so sánh tệp tin (ví dụ: WinMerge trên Windows, DiffMerge trên macOS/Linux).
• Bất kỳ sự khác biệt nào trong các tệp tin cốt lõi (ngoài những thay đổi bạn tự thực hiện như wp-config.php) đều có thể là dấu hiệu của mã độc.

So sánh Plugins/Themes với bản tải về từ nguồn uy tínLink to heading

• Trong quá trình quét mã độc Website, nếu bạn nghi ngờ một plugin hoặc theme nào đó, hãy tải lại phiên bản mới nhất từ kho plugin/theme chính thức của WordPress (hoặc từ nhà cung cấp theme/plugin uy tín).
• So sánh các tệp tin của plugin/theme trên hosting với bản sạch đã tải về để phát hiện những đoạn mã hoặc tệp tin lạ được chèn vào.

Xóa bỏ và làm sạch mã độcLink to heading

Khi bạn đã xác định được mã độc, hãy tiến hành làm sạch, dọn rác quét virus bằng cách:

Xóa File nghi ngờLink to heading

Xóa ngay lập tức bất kỳ tệp tin nào mà bạn chắc chắn là mã độc và không thuộc về website của bạn (ví dụ: các tệp có tên lạ, tệp .php trong thư mục uploads).

Làm sạch mã độc trong File bị nhiễmLink to heading

• Nếu mã độc được chèn vào một tệp tin hợp pháp, hãy mở tệp đó và xóa bỏ chỉ riêng đoạn mã độc.
• Đảm bảo bạn chỉ xóa đoạn mã độc và không làm hỏng cấu trúc tệp tin. Nếu không chắc chắn, hãy xóa toàn bộ tệp bị nhiễm và thay thế bằng một bản sạch từ bản sao lưu hoặc từ nguồn download đáng tin cậy.

Xóa người dùng/tài khoản lạLink to heading

• Kiểm tra tài khoản người dùng trong WordPress admin (hoặc hệ thống quản trị khác của website).
• Xóa bất kỳ tài khoản người dùng lạ nào mà bạn không tạo ra.
• Kiểm tra các tài khoản FTP, SSH trên hosting để đảm bảo không có tài khoản lạ.

Kiểm tra cơ sở dữ liệu (Database)Link to heading

Mã độc cũng có thể lây nhiễm vào cơ sở dữ liệu (ví dụ: chèn spam SEO vào các bài viết, tạo người dùng admin lạ).

• Sử dụng phpMyAdmin (trong cPanel) để duyệt cơ sở dữ liệu.
• Tìm kiếm các bảng lạ, các chuỗi ký tự lạ trong các bảng bài viết, bình luận.
• Đặc biệt kiểm tra bảng wp_users và wp_options (nếu dùng WordPress) để tìm người dùng hoặc cài đặt lạ.

Lưu ý: Thao tác với cơ sở dữ liệu cần rất cẩn thận. Nếu không chắc chắn, hãy tìm kiếm sự trợ giúp từ chuyên gia.

Bảo vệ sau khi quét mã độc WebsiteLink to heading

Sau khi đã dọn sạch virus mã độc, bạn cần thực hiện các bước để bảo vệ website khỏi bị tấn công lại.

Đổi toàn bộ mật khẩuLink to heading

• Đổi mật khẩu cho tài khoản quản trị WordPress (hoặc CMS khác).
• Đổi mật khẩu tài khoản hosting, cPanel, FTP, SSH.
• Đổi mật khẩu cơ sở dữ liệu (và cập nhật file wp-config.php tương ứng nếu dùng WordPress).
• Đổi mật khẩu email liên quan đến website.

Cập nhật tất cả mọi thứLink to heading

• Đảm bảo phiên bản WordPress Core (hoặc CMS khác) là mới nhất.
• Cập nhật tất cả Themes và Plugins lên phiên bản mới nhất từ nguồn uy tín.
• Xóa bỏ bất kỳ Themes hoặc Plugins nào không sử dụng.

Cài đặt/kiểm tra Plugin bảo mật (nếu dùng WordPress)Link to heading

• Hãy cài đặt và cấu hình một plugin bảo mật mạnh mẽ như Wordfence Security, iThemes Security, Sucuri Security.
• Kích hoạt Firewall (tường lửa), quét malware định kỳ, chặn Brute-force.

Gửi yêu cầu xem xét lên Google (nếu bị cảnh báo)Link to heading

Nếu website của bạn bị Google cảnh báo mã độc hoặc bị đưa vào blacklist, sau khi làm sạch, hãy gửi yêu cầu xem xét lại thông qua Google Search Console.

Giám sát liên tụcLink to heading

• Theo dõi nhật ký truy cập thường xuyên.
• Sử dụng các công cụ giám sát website để nhận cảnh báo về các hoạt động bất thường.
• Thực hiện sao lưu định kỳ và lưu trữ bản sao lưu ở nơi an toàn.

Kết luậnLink to heading

Quét mã độc website là công việc không thể bỏ qua nếu bạn muốn bảo vệ tài sản số của mình trước các mối đe dọa mạng ngày càng phức tạp. Với quy trình chi tiết trong bài viết này, dù là người mới bắt đầu, bạn cũng có thể tự kiểm tra và xử lý mã độc hiệu quả. 

Hãy nhớ rằng bảo mật website là quá trình liên tục, đòi hỏi sự chủ động giám sát và cập nhật thường xuyên. Nếu gặp khó khăn, đừng ngần ngại tìm đến dịch vụ quét mã độc của System444 để được hỗ trợ kịp thời.