Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·5 phút đọc

Cách dọn backdoor (cửa hậu) để mã độc không quay lại

Vũ Đức Minh
Cách dọn backdoor (cửa hậu) để mã độc không quay lại

Đa số người gỡ mã độc đều vấp ở một chỗ: gỡ xong vài hôm web nhiễm lại. Thủ phạm gần như luôn là cửa hậu (backdoor — lối vào bí mật kẻ tấn công cài để quay lại). Dọn backdoor WordPress mới là phần quyết định web có sạch thật hay không. Bài này chỉ cách truy và diệt nó.

Cửa hậu là gì và vì sao nguy hiểm

Cửa hậu là đoạn mã cho phép kẻ tấn công vào lại web mà không cần mật khẩu, kể cả sau khi bạn đã dọn phần mã độc nhìn thấy. Nó không gây hại lộ liễu — không chuyển hướng, không đổi giao diện — nên rất dễ bị bỏ qua. Đó chính là điều khiến nó nguy hiểm: web trông đã sạch, nhưng kẻ tấn công vẫn nắm chìa khoá và sẽ cài lại mã độc bất cứ lúc nào.

Vì sao website nhiễm mã độc lại và khác biệt khi đã dọn sạch cửa hậu
Còn cửa hậu là còn nhiễm lại — dọn sạch mới yên.

Cửa hậu thường nấp ở đâu

Kẻ tấn công cố tình giấu cửa hậu ở nơi ít ai soi tới, và thường cài nhiều cái cùng lúc để phòng bạn xoá mất một:

  • File .php trong thư mục uploads — núp giữa hàng nghìn ảnh.
  • Thư mục mu-plugins — plugin tự chạy, không có nút tắt trong giao diện.
  • File lõi giả — đặt tên nhái file gốc WordPress để trà trộn.
  • Theme/plugin không dùng — vẫn nằm trên hosting, ít khi được soi hay cập nhật.
  • Lịch wp-cron — tác vụ định kỳ âm thầm cài lại mã độc.
  • Tài khoản quản trị ẩn — một dạng “cửa hậu” qua chính giao diện đăng nhập.

Các nơi này trùng nhiều với bài mã độc giấu ở đâu trong WordPress — vì cửa hậu cũng là một dạng mã độc, chỉ khác mục đích.

Sơ đồ những nơi cửa hậu backdoor nấp trong WordPress — uploads, mu-plugins, file lõi giả, theme không dùng, wp-cron, user ẩn
Cửa hậu thích nấp ở những nơi ít người soi tới.

Cách truy và diệt cửa hậu

  • So mã nguồn với bản gốc. Tải WordPress, theme, plugin từ nguồn chính thống rồi đối chiếu — file nào thừa ra hoặc khác bản gốc đều đáng nghi.
  • Dò các hàm đáng ngờ. Tìm trong mã nguồn những hàm hay dùng để che giấu như eval(), base64_decode(), gzinflate(), assert(), preg_replace với cờ /e.
  • Xoá hẳn theme và plugin không dùng. Bớt một thư mục là bớt một chỗ nấp.
  • Dọn wp-cronmu-plugins. Đây là bước cắt đường cài lại tự động — thiếu nó thì gỡ mãi vẫn nhiễm.
  • Đổi bộ khoá bảo mật (salt) và toàn bộ mật khẩu. Việc này vô hiệu mọi phiên đăng nhập kẻ tấn công đang giữ.
Quy trình 5 bước truy diệt cửa hậu backdoor trong WordPress
Năm bước truy diệt cửa hậu để mã độc không quay lại.

Theo dõi sau khi dọn

Diệt xong cửa hậu, đừng vội ăn mừng. Theo dõi web vài ngày: kiểm lại file có bị tạo mới bất thường không, tài khoản có mọc thêm không, web có dấu hiệu lạ trở lại không. Một cửa hậu sót sẽ lộ ra trong giai đoạn này. Bật sẵn một lớp giám sát hoặc tường lửa giúp bạn phát hiện sớm — xem bài bảo vệ WordPress khỏi nhiễm lại.

Đây là chỗ nên cân nhắc thuê

Thành thật: truy diệt cửa hậu là phần khó nhất và dễ sót nhất khi tự làm, vì cần kinh nghiệm nhận ra mã ngụy trang và biết các nơi nấp hiếm. Nếu web của bạn đã rơi vào vòng lặp gỡ–nhiễm–gỡ, đó là tín hiệu rõ nên để người làm chuyên. Web22 nhận xử lý mã độc website với trọng tâm là truy diệt cửa hậu và vá lỗ hổng gốc — đúng phần khiến web nhiễm đi nhiễm lại.

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách bảo vệ WordPress khỏi nhiễm mã độc — checklist gia cố Mã độc thường giấu ở đâu trong WordPress