Gần đây, một loại phần mềm độc hại mới có tên là “Monitization” hay còn có tên gọi khác là freed.php đã nhận được rất nhiều sự chú ý trên các diễn đàn WordPress. Phần mềm độc hại này hiển thị một cửa sổ bật lên không được yêu cầu (thường là khiêu dâm) cho khách truy cập trang web. Rất nhiều người dùng đã tìm kiếm sự trợ giúp để khôi phục trang web của họ khỏi cuộc tấn công này sau khi tin tặc sử dụng nó để thực hiện các cuộc tấn công SEO Mũ đen khác nhau.
Vụ tấn công theo hướng dẫn trước.php là gì?
Gần đây, người ta phát hiện thấy một plugin có tên “Monitization” đứng sau một số đoạn mã được đưa vào back-end của một trang web. Khi kiểm tra các tệp của plugin, chúng tôi đã phát hiện ra rằng mã trong tệposystem.php chịu trách nhiệm đưa vào bảng wp_options MySQL của trang web WordPress với các URL và chuyển hướng spam và thay đổi một số cài đặt.
Đây là mã độc mà chúng tôi đã tìm thấy trong tệp theo dõi.php:
<?php
/**
* Plugin Name: Monitization
* Description: this plugin will help you Monitize your traffic easily from different ad networks.
* Author: Igor Glavatskiy
* Version: 1.0
*/
error_reporting(0);
ini_set('display_errors', 0);
$plugin_key='9f3d4cbd075c63c03c06a63f4579eb13';
$version='1.2';
add_action('admin_menu', function() {
add_options_page( 'Monitization Plugin', 'Monitization', 'manage_options', 'monit', 'mont_page' );
remove_submenu_page( 'options-general.php', 'monit' );
});
Làm cách nào bạn có thể biết được trang web của mình có bị nhiễm hay không?
Để phát hiện hành vi tấn công bằng tập tin tặc.php, hãy duyệt qua URL này sau khi thay thế URL trang web của bạn cho phù hợp:
[your-site-URL]/wp-admin/options-general.php?page=monit
Khi tải, nếu bạn tìm thấy một trang có cài đặt và chuỗi văn bản, bạn có thể đã bị tấn công. Để tìm hiểu cách sửa chữa trang web của bạn, hãy đọc tiếp.
Bạn có thể khắc phục cuộc tấn công này như thế nào?
1. Sao lưu trang web của bạn trước khi làm sạch.
Bạn nên kết nối trang web ngoại tuyến để người dùng không truy cập các trang bị nhiễm khi bạn đang làm sạch nó. Đảm bảo sao lưu tất cả các tệp và cơ sở dữ liệu cốt lõi. Đảm bảo sao lưu ở định dạng tệp nén, chẳng hạn như .zip.
2. Thay thế các tệp lõi, plugin và chủ đề.
Bạn có thể thay thế các tệp lõi bị nhiễm bằng phiên bản gốc của cùng một nguồn từ các nguồn có uy tín. Sau khi tải xuống các phiên bản mới và cập nhật của các tệp &thư mục này, bạn có thể xóa các phiên bản cũ hơn. Xóa bất kỳ tệp nào của plugin “Khởi động”.
3. Xóa mọi tệp đáng ngờ, được sửa đổi gần đây.
Bạn có thể tìm thấy các tệp có khả năng bị nhiễm bằng cách xem các tệp đã được sửa đổi gần đây. Bạn có thể khôi phục các tệp này từ một bản sao lưu sạch mà bạn có hoặc từ một nguồn đáng tin cậy.
4. Làm sạch cơ sở dữ liệu của bạn.
Ngoài việc xóa tất cả các tệp plugin và làm sạch mã độc hại được đưa vào các tệp trên trang web của bạn, hãy đảm bảo kiểm tra các bản ghi option_name sau trong bảng wp_options MySQL trên trang web của bạn:
- default_mont_options
- ad_code
- hide_admin
- hide_logged_in
- display_ad
- search_engines
- auto_update
- ip_admin
- cookies_admin
- logged_admin
- log_install
5. Chạy quét phần mềm độc hại.
Chạy quét phần mềm độc hại trên máy chủ web của bạn để tìm phần mềm độc hại và các tệp độc hại. Bạn có thể sử dụng công cụ 'Trình quét vi-rút' trong cPanel do máy chủ web của bạn cung cấp hoặc yêu cầu chuyên gia dọn dẹp phần mềm độc hại bằng Astra Pro Plan.
Bạn có thể ngăn chặn các cuộc tấn công tiếp theo bằng cách nào?
Cách chắc chắn duy nhất để bảo vệ trang web của bạn khỏi các phương pháp ngày càng phát triển của tin tặc là đầu tư vào bảo mật. Bạn nên đầu tư vào tường lửa trang web, chạy quét phần mềm độc hại thường xuyên và kiểm tra bảo mật thường xuyên.
Trên thực tế, hầu hết mọi người đều có thể tìm thấy phần mềm độc hại px.php bởi vì họ chạy quét phần mềm độc hại ngay lập tức gắn cờ nó và xác định nguồn gốc của mã độc là plugin "Monitization". Vì vậy, hãy đảm bảo quét phần mềm độc hại thường xuyên!
Tin tặc.php:Kết luận
Gần đây, một plugin độc hại mới có tên “Monitization” đã được phát hiện để đưa mã vào các trang web, sau đó được sử dụng cho các vụ Hack SEO mũ đen như Hack từ khóa Nhật Bản và Hack dược phẩm.
Những cuộc tấn công mạng như vậy thật kinh khủng, và hậu quả của chúng đối với lưu lượng truy cập, doanh thu và thậm chí cả danh tiếng của bạn. Vì vậy, để ngăn chặn việc bị tấn công, bạn nên đầu tư vào bảo mật và tuân theo các phương pháp bảo mật tốt - những điều này có thể đi một chặng đường dài!
Giới thiệu về Astra
Tại Astra, chúng tôi có một đội ngũ chuyên gia bảo mật hàng ngày giúp chủ sở hữu và nhà phát triển trang web bảo vệ trang web của họ khỏi những kẻ tấn công. Tường lửa thông minh của chúng tôi cung cấp bảo mật 24 × 7 theo thời gian thực chống lại các bot xấu, tin tặc, phần mềm độc hại, XSS, SQLi và các cuộc tấn công trên 80+. Astra Firewall được tùy chỉnh cao cho Prestashop, OpenCart &Magento để cung cấp bảo mật toàn diện cho cửa hàng thương mại điện tử của bạn.