Chuyển tới nội dung chính

Quét và Phát Hiện Mã Độc Website qua cPanel

Giới Thiệu

Việc website bị nhiễm mã độc (malware) là một mối đe dọa nghiêm trọng, có thể dẫn đến mất dữ liệu, ảnh hưởng đến SEO, bị Google cảnh báo, hoặc thậm chí bị ngừng hoạt động. cPanel cung cấp một số công cụ giúp bạn kiểm tra và phát hiện các dấu hiệu của mã độc trên website của mình. Mặc dù cPanel không phải là một giải pháp quét mã độc chuyên sâu như các công cụ bảo mật cao cấp, nó vẫn là điểm khởi đầu hiệu quả để kiểm tra tình trạng an toàn của website.

Trong hướng dẫn này, chúng ta sẽ cùng tìm hiểu cách sử dụng các tính năng có sẵn trong cPanel để quét và nhận diện các mối đe dọa tiềm ẩn, giúp bạn bảo vệ website khỏi các cuộc tấn công.

📋 Thời gian: 20-30 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần:

  • Quyền truy cập vào tài khoản cPanel của website của bạn.
  • Hiểu biết cơ bản về cấu trúc thư mục và file của website (ví dụ: thư mục public_html, các file PHP, JS).
  • Khả năng sao lưu dữ liệu website.

Các Bước Thực Hiện

Bước 1: Sao lưu Website (Quan trọng!)

Trước khi thực hiện bất kỳ thao tác nào liên quan đến việc kiểm tra hoặc chỉnh sửa file, việc sao lưu toàn bộ website là cực kỳ quan trọng. Điều này đảm bảo rằng bạn có thể khôi phục website về trạng thái trước đó nếu có bất kỳ sự cố nào xảy ra trong quá trình quét hoặc dọn dẹp.

  1. Đăng nhập vào cPanel của bạn.
  2. Tìm mục "Files" và chọn "Backup Wizard" hoặc "Backups".
  3. Chọn "Full Backup" và làm theo hướng dẫn để tạo một bản sao lưu đầy đủ, sau đó tải về máy tính của bạn.

⚠️ Cảnh báo: Không bao giờ thực hiện quét hoặc sửa đổi file mà không có bản sao lưu gần nhất.

Bước 2: Sử dụng Trình quét Virus của cPanel (nếu có)

Một số nhà cung cấp hosting tích hợp trình quét virus (thường là ClamAV) trực tiếp vào cPanel. Đây là cách nhanh nhất để thực hiện quét tự động.

  1. Đăng nhập vào cPanel.
  2. Tìm mục "Advanced" hoặc "Security" (vị trí có thể khác nhau tùy nhà cung cấp) và tìm kiếm biểu tượng "Virus Scanner" hoặc "ClamAV Scanner".
  3. Chọn phạm vi quét:
    • Scan Your Mail Directory: Quét các email.
    • Scan Your Entire Home Directory: Quét toàn bộ tài khoản hosting của bạn (bao gồm website, email, v.v.). Đây là tùy chọn được khuyến nghị để kiểm tra website.
    • Scan Public FTP Space: Quét thư mục FTP công cộng.
    • Scan Public Web Space: Quét thư mục public_html của website.
  4. Nhấp vào "Scan Now" để bắt đầu quá trình quét.

Thành công: Sau khi quét xong, trình quét sẽ hiển thị danh sách các file bị nhiễm (nếu có). Bạn có thể chọn cách ly (quarantine), xóa (delete) hoặc bỏ qua (ignore) các file này.

💡 Mẹo: Trình quét virus của cPanel có thể phát hiện các loại mã độc phổ biến, nhưng không phải lúc nào cũng đủ để tìm ra tất cả các mối đe dọa mới hoặc phức tạp. Do đó, việc kiểm tra thủ công vẫn rất cần thiết.

Bước 3: Kiểm tra thủ công bằng File Manager

File Manager là công cụ mạnh mẽ nhất trong cPanel để kiểm tra mã độc theo cách thủ công. Bạn có thể tìm kiếm các file đáng ngờ, kiểm tra thời gian sửa đổi và nội dung file.

  1. Đăng nhập vào cPanel.
  2. Tìm mục "Files" và chọn "File Manager".
  3. Điều hướng đến thư mục gốc của website của bạn, thường là public_html.

3.1. Kiểm tra các file mới hoặc bị sửa đổi gần đây

Mã độc thường tạo ra các file mới hoặc sửa đổi các file hiện có.

  • Sắp xếp các file theo "Last Modified" (Ngày sửa đổi cuối cùng) để xem các file nào được thay đổi gần đây nhất.
  • Tìm kiếm các file có tên lạ, không thuộc về hệ thống CMS của bạn (ví dụ: random_string.php, cache.php lạ, .htaccess bị sửa đổi).
  • Kiểm tra các thư mục chứa file upload (ví dụ: wp-content/uploads đối với WordPress) xem có file PHP hoặc JS lạ không. Thư mục upload chỉ nên chứa hình ảnh, video, PDF.
# Trong File Manager, bạn có thể nhìn vào cột "Date Modified"
# để phát hiện các file được tạo/sửa đổi gần đây một cách đáng ngờ.
# Ví dụ, tìm kiếm các file PHP được sửa đổi trong 24h qua mà bạn không chủ ý.
# Bạn cũng có thể xem quyền của file/thư mục.
# Quyền chuẩn cho file là 644, cho thư mục là 755.
# Quyền 777 cho file/thư mục thường là dấu hiệu bất thường và nguy hiểm.

3.2. Tìm kiếm các đoạn mã đáng ngờ trong nội dung file

Mã độc thường chèn các đoạn mã obfuscated (mã hóa/che giấu) vào các file PHP, JavaScript hiện có.

  • Mở các file PHP quan trọng như index.php, wp-config.php (WordPress), các file trong thư mục wp-includes, wp-admin, hoặc các file theme/plugin.
  • Tìm kiếm các hàm PHP đáng ngờ: eval, base64_decode, gzinflate, str_rot13, shell_exec, passthru, system, exec, assert, file_put_contents, fsockopen, curl_exec, http_build_query.
  • Tìm kiếm các đoạn mã dài, được mã hóa, hoặc các đoạn mã không rõ ràng ở đầu hoặc cuối file.
<?php
// Ví dụ về mã độc được mã hóa
eval(base64_decode('aWYgKCFkZWZpbmVkKCdDUlVEX1BBU1NXT1JEJykpIHsgZGVmaW5lKCdDUlVEX1BBU1NXT1JEJywgJzEyMzQ1NicpOyB9'));

// Ví dụ về mã độc chèn vào đầu file
$GLOBALS['___'] = 'some_evil_code';
if (!isset($GLOBALS['____'])) {
    $GLOBALS['____'] = create_function('', 'eval($GLOBALS[\'___\']);');
}
?>
  • Kiểm tra file .htaccess trong thư mục public_html và các thư mục con. Mã độc có thể chèn các quy tắc chuyển hướng độc hại hoặc thực thi script.

3.3. Kiểm tra nhật ký (Logs)

Nhật ký truy cập (Access Logs) và nhật ký lỗi (Error Logs) có thể cung cấp manh mối về các hoạt động đáng ngờ.

  1. Trong cPanel, tìm mục "Metrics" và chọn "Raw Access" hoặc "Errors".
  2. Tải về các file nhật ký và mở bằng trình soạn thảo văn bản.
  3. Tìm kiếm các yêu cầu truy cập lạ, các lỗi PHP không mong muốn, hoặc các yêu cầu đến các file mà bạn không nhận ra.

Bước 4: Hành động và Dọn dẹp (nếu phát hiện)

Khi đã phát hiđơn các file hoặc đoạn mã độc hại:

  1. Cách ly hoặc Xóa:

    • Nếu bạn chắc chắn đó là mã độc, hãy xóa file đó.
    • Nếu không chắc chắn, hãy chuyển file đó đến một thư mục bên ngoài public_html (ví dụ: home/username/quarantine) hoặc đổi tên file (ví dụ: evil.php thành evil.php.infected) để vô hiệu hóa nó.
    • Nếu mã độc nằm trong một file hợp lệ (ví dụ: index.php), hãy chỉnh sửa file và xóa bỏ đoạn mã độc hại.

  2. Thay đổi mật khẩu: Thay đổi tất cả mật khẩu liên quan đến website: cPanel, FTP, SSH, cơ sở dữ liệu, tài khoản quản trị CMS.

  3. Cập nhật phần mềm: Đảm bảo CMS (WordPress, Joomla, Drupal), themes, và plugins của bạn được cập nhật lên phiên bản mới nhất. Mã độc thường khai thác lỗ hổng trong các phiên bản cũ.

  4. Kiểm tra lại: Sau khi dọn dẹp, hãy quét lại website bằng trình quét virus của cPanel và kiểm tra thủ công một lần nữa.

Troubleshooting

  • Không tìm thấy "Virus Scanner" trong cPanel:

    • Giải pháp: Không phải tất cả các nhà cung cấp hosting đều tích hợp trình quét virus vào cPanel. Trong trường hợp này, bạn sẽ phải dựa hoàn toàn vào việc kiểm tra thủ công bằng File Manager và có thể cần sử dụng các công cụ quét mã độc bên ngoài (ví dụ: Sucuri SiteCheck, Wordfence Security cho WordPress) hoặc liên hệ với nhà cung cấp hosting để được hỗ trợ.

  • Không thể xóa hoặc chỉnh sửa file bị nhiễm:

    • Nguyên nhân: Quyền hạn file không cho phép hoặc file đang bị khóa bởi hệ thống.
    • Giải pháp: Kiểm tra quyền hạn của file (chọn file, nhấp vào "Permissions" trong File Manager). Đảm bảo quyền là 644 cho file và 755 cho thư mục. Nếu vẫn không được, hãy liên hệ với bộ phận hỗ trợ kỹ thuật của nhà cung cấp hosting.

  • Website vẫn bị nhiễm sau khi dọn dẹp:

    • Nguyên nhân: Mã độc có thể đã lây lan sang nhiều vị trí khác, hoặc có backdoor vẫn tồn tại, hoặc lỗ hổng bảo mật chưa được vá.
    • Giải pháp: Kiểm tra kỹ lưỡng hơn, sử dụng các công cụ quét chuyên sâu hơn (nếu có thể), và đảm bảo tất cả phần mềm được cập nhật. Cân nhắc khôi phục từ một bản sao lưu sạch (nếu có) và sau đó vá các lỗ hổng.

Kết Luận

Việc quét và phát hiện mã độc bằng cPanel là một bước quan trọng để duy trì an ninh cho website của bạn. Bằng cách kết hợp việc sử dụng trình quét virus tích hợp (nếu có) và kiểm tra thủ công kỹ lưỡng qua File Manager, bạn có thể tăng cường khả năng bảo vệ trang web của mình.

Best practices để phòng ngừa mã độc:

  • Sao lưu định kỳ: Luôn có bản sao lưu mới nhất của toàn bộ website.
  • Cập nhật thường xuyên: Giữ cho CMS, themes, và plugins luôn ở phiên bản mới nhất.
  • Mật khẩu mạnh: Sử dụng mật khẩu phức tạp và duy nhất cho tất cả các tài khoản liên quan.
  • Hạn chế quyền hạn: Đặt quyền hạn file và thư mục đúng chuẩn (644 cho file, 755 cho thư mục).
  • Sử dụng tường lửa (WAF): Cân nhắc sử dụng Web Application Firewall (WAF) để lọc lưu lượng truy cập độc hại.
  • Theo dõi hoạt động: Thường xuyên kiểm tra nhật ký truy cập và lỗi để phát hiện sớm các hoạt động bất thường.

Bảo mật website là một quá trình liên tục, đòi hỏi sự chủ động và cảnh giác.

Xem thêm: