Wordpress Password

Virus tự động gửi email tràn lan trên các host Việt Nam

Hàng ngàn website dính Virus tự động gửi email SPAM tới hàng ngàn email khác nhau trên thế giới, làm chết website, đầy host và tạo rác Internet.

Trong số các bạn bè và khách hàng cũ của Jam, tất cả đều đồng loạt liên hệ lại tới Jam rằng host của họ bị đóng băng do đơn vị chủ quản có báo cáo rằng host của họ đang gửi email liên tục và hàng loạt, làm cho tài nguyên host không đáp ứng kịp và bị đớ, họ đóng luôn host lại.

SPAM email

Qua kiểm tra, Jam thấy tất cả họ đều dính một loại virus nhưng chia ra làm hai phương thức tấn công cực kì lạ lẫm. Download thử các file này về thì thấy máy tính báo virus chưa có tên 😀 và tôi cũng có thông báo trong một bài viết trước cách đây mấy hôm.

Điều đặc biệt là các website này đều làm bằng mã nguồn WordPress, à cơ mà vì Jam thiết kế trên WordPress nên mới được nhờ. Có thể các mã nguồn khác như Joomla và Drupal cũng đều bị nhưng Jam không chuyên mấy mã nguồn này. Đây cũng là điểm yếu của mã nguồn mở so với các mã nguồn đóng, đó là nếu bị hack là bị hàng loạt.

Cách virus kí sinh trong host

* Cách 1: Nó chui thẳng vào file wp-load.php và nằm im ở đó, mã hóa với dạng Base64 để cho nhìn đỡ lộ, vậy thôi chứ không có gì bí hiểm, không biết virus nó chui vào kiểu gì mà nằm ở đó, sau đó gửi email hàng loạt tới các địa chỉ mà chủ của nó định sẵn ở host nước ngoài, danh sách tới, email sẽ tự động gửi đi, nạn nhân bị biến thành email server.

* Cách 2: Nó chui vào và sinh ra hàng loạt các file cực kì nguy hiểm, nhìn nó giống như mã verified của Alexa, ví dụ “_alexa_verifiied.php” sau đó sinh tiếp ra các file chạy lệnh “symlink” và các lệnh khác trên host Linux để lây lan sang các host khác, nó có hai nhiệm vụ: Lây sang host hàng xóm nhiều nhất có thể, sau đó ngồi đó biến hosting của khách hàng thành email server của nó.

Mục đích

Gửi càng nhiều email càng tốt, và vì nó gửi quá nhiều email đi khắp nơi nên các email tiếp theo sau gửi từ host hay địa chỉ IP này đều bị cho vào thư mục SPAM hết. Nạn nhân không thể tiếp tục gửi email tới khách hàng.

Ăn cắp thông tin tài khoản, lấy được càng nhiều càng tốt, đặc biệt là nó lấy thông tin email, cứ là email là được.

Biểu hiện của Virus gửi email

Các virus làm tốn tài nguyên máy chủ, lúc nào nó cũng hoạt động, chỉ cần load trang, tài nguyên CPU và băng thông bị ăn mòn, website chạy chậm.

Hết luôn dung lượng host, bạn có thể gặp lỗi không upload được ảnh hoặc file do con virus tự động nhân bản bản thân để chiếm chỗ trống, làm giảm khả năng xóa hết nó ra khỏi host.

Lỗi tiếng Việt ở đâu đó, do nó có thể ăn “nhầm” vào file hiển thị, ý đồ của nó thì không bao giờ muốn lộ, nên có thể nó ăn vào file nào đó liên quan tới giao diện và làm thay đổi bảng mã, có khi bạn gặp website với chân trang toàn ô vuông với lại dấu hỏi chấm.

Cách khắc phục

Tôi có viết một bài viết về cách khắc phục WordPress sau khi bị hack, các bạn có thể tham khảo thêm.

Hiện tại thì chỉ có cách tối ưu nhất đó là reset hosting, cho về trạng thái ban đầu sau đó cài lại website, trước đó bạn đã chắc bạn có bản backup gần nhất, lôi nó về và quét qua mã độc bằng phần mềm khuyến nghị là Kapersky của Nga ngố.

Đổi toàn bộ mật khẩu người dùng mà bạn có.

Cài thêm các plugin bảo mật cho mã nguồn của bạn, nếu bạn đang dùng WordPress, tôi khuyên dùng iTheme Security, hoặc xem thêm tại đây !

Đảm bảo bạn update toàn bộ mã nguồn và plugin lên phiên bản mới nhất.

Nếu bạn đang dùng Server mà bị hack, tốt nhất nên tắt các hàm nguy hiểm trên server và nâng cấp hệ thống lên bản mới nhất ngay lập tức, nếu thành thạo, bạn có thể cài thêm mod_security để nâng cao tính bảo mật !

Chúc các bạn thành công !

TÁC GIẢ:

Tôi là Jam, thâm niên 7 năm thiết kế website và làm SEO. Hãy theo dõi blog của tôi để nhận được nhiều chia sẻ thú vị xung quanh chủ đề công nghệ.
Bạn có thấy bài viết về Virus tự động gửi email thú vị ? Chia sẻ ngay tới mọi người, hoặc tham gia bình luận thật sôi nổi nhé !

Có 2 bình luận !

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *