Bỏ qua tới nội dung
Liên hệ ngay
Bảo mật website· ·9 phút đọc

Dấu hiệu nhận biết website bị nhiễm mã độc

Vũ Đức Minh
Dấu hiệu nhận biết website bị nhiễm mã độc

Dấu hiệu website bị nhiễm mã độc hiếm khi đập ngay vào mắt chủ web. Mã độc đời mới được viết để giấu mặt: với người đăng nhập quản trị thì web vẫn bình thường, nhưng với khách lạ hoặc với Google thì nó mới giở trò. Vì thế nhiều người chỉ phát hiện khi đã muộn — khách phàn nàn, hoặc Google tụt hạng. Bài này giúp bạn nhận ra sớm.

Vì sao mã độc thường âm thầm

Kẻ tấn công không muốn bạn biết web đã bị chiếm. Web càng “sống” lâu trong tình trạng nhiễm, chúng càng kiếm được nhiều — từ việc bán lưu lượng, phát tán thư rác, cho tới đào tiền ảo bằng máy chủ của bạn. Nên mã độc hiện nay rất hay dùng kỹ thuật che mắt (cloaking — phân biệt khách để hiện nội dung khác nhau):

  • Chỉ ra mặt với khách lạ. Người đã đăng nhập quản trị thấy web sạch trơn; khách vãng lai từ Google mới bị đẩy sang trang khác.
  • Chỉ hiện với bot tìm kiếm. Mã chèn hàng nghìn link ẩn chỉ để Google đọc, mắt người không thấy.
  • Ẩn theo giờ hoặc theo nguồn truy cập. Có loại chỉ hoạt động vào ban đêm, hoặc chỉ với người vào từ điện thoại.

Hệ quả: bạn không thể chỉ “tự vào xem web có sao không” rồi yên tâm. Phải biết đúng các dấu hiệu để soi.

Sơ đồ dấu hiệu website bị nhiễm mã độc và nguyên nhân — chuyển hướng lạ, quảng cáo lạ, Google chặn, hosting khoá, web chậm
Mỗi dấu hiệu lạ trên web thường ứng với một kiểu mã độc phía sau.

Dấu hiệu nhìn thấy bằng mắt

Đây là nhóm dễ nhận nhất — thường do chính khách hàng báo lại cho bạn:

  • Web tự chuyển hướng sang trang lạ. Khách bấm vào web của bạn nhưng bị đẩy sang trang cờ bạc, thuốc, hay một tên miền nước ngoài. Đây là dấu hiệu nhiễm phổ biến và rõ ràng nhất.
  • Mọc quảng cáo, pop-up, nội dung lạ. Trang xuất hiện banner, cửa sổ bật lên, hoặc cả bài viết tiếng nước ngoài mà bạn chưa hề đăng.
  • Giao diện bị thay đổi. Trang chủ bị thay bằng nội dung của kẻ tấn công (gọi là deface — bôi mặt trang web), thường kèm dòng chữ khoe khoang.
  • Có tài khoản quản trị lạ. Trong danh sách thành viên xuất hiện một admin bạn không tạo — dấu hiệu kẻ tấn công đã có quyền.
  • File lạ trong mã nguồn. Khi xem qua trình quản lý file của hosting, thấy file PHP tên ngẫu nhiên nằm trong thư mục tải lên (uploads) — nơi lẽ ra chỉ chứa ảnh.

Dấu hiệu chỉ máy và Google phát hiện

Nhóm này nguy hiểm hơn vì bạn không tự thấy khi lướt web — chỉ lộ ra qua công cụ hoặc qua phản ứng của bên thứ ba:

  • Google Search Console gửi cảnh báo bảo mật. Mục “Vấn đề bảo mật” báo web chứa phần mềm độc hại hoặc nội dung lừa đảo. Đây là tín hiệu đáng tin cậy nhất.
  • Trình duyệt chặn đỏ. Chrome/Cốc Cốc hiện màn hình đỏ “Trang web phía trước chứa phần mềm độc hại” khi khách định vào.
  • Nhà cung cấp hosting khoá tài khoản. Hosting tự ngắt web vì phát hiện mã độc hoặc thấy web đang gửi đi hàng loạt thư rác.
  • Email từ web rơi vào hộp thư rác hàng loạt. Tên miền của bạn bị đưa vào danh sách đen (blacklist) vì server đã bị lợi dụng gửi spam.
  • Web chậm hẳn, máy chủ tốn tài nguyên bất thường. Mã độc đào tiền ảo hoặc chạy ngầm khiến CPU luôn cao, dù lượng khách không tăng.

Nếu bạn có quyền vào Google Search Console mà chưa kết nối, hãy thêm web vào ngay — đó là hệ thống cảnh báo miễn phí và đáng tin nhất cho chủ web.

Quy trình 5 việc nên làm ngay khi nghi website bị nhiễm mã độc
Năm việc nên làm ngay khi nghi web nhiễm mã độc.

Phân biệt nhiễm mã độc với lỗi kỹ thuật thường

Đây là chỗ nhiều người nhầm. Không phải web trục trặc nào cũng do bị hack. Web trắng trang, báo lỗi 500, hay hỏng sau khi bấm cập nhật thường chỉ là lỗi kỹ thuật — xung đột plugin, hết bộ nhớ, sai cấu hình — chứ không phải mã độc. Phân biệt sai dẫn tới xử lý sai: đi quét mã độc trong khi vấn đề chỉ là một plugin lỗi, hoặc ngược lại.

So sánh dấu hiệu website nhiễm mã độc và lỗi kỹ thuật thông thường
Không phải web hỏng nào cũng do mã độc — đối chiếu để khỏi xử lý nhầm.

Quy tắc đơn giản để đoán: mã độc thường thêm thứ lạ vào web (chuyển hướng, nội dung lạ, tài khoản lạ, cảnh báo bảo mật). Còn lỗi kỹ thuật thường làm web ngừng hoạt động (trắng trang, báo lỗi) một cách nhất quán và không kèm nội dung lạ. Khi đã rõ web có nội dung lạ chèn vào hoặc bị Google cảnh báo, gần như chắc chắn là nhiễm mã độc.

Nghi web nhiễm — nên làm gì ngay

Phát hiện dấu hiệu rồi thì đừng hoảng và cũng đừng vội xoá lung tung. Mấy việc nên làm theo thứ tự:

  • Giữ hiện trạng, sao lưu ngay. Lưu lại cả mã nguồn lẫn cơ sở dữ liệu — kể cả khi đang nhiễm — để có cái đối chiếu và truy nguồn.
  • Đổi toàn bộ mật khẩu. Quản trị WordPress, hosting, cơ sở dữ liệu, FTP. Đây là bước chặn kẻ tấn công đầu tiên.
  • Đừng tự xoá file khi chưa chắc. Xoá nhầm file lõi có thể làm web sập hẳn, lại khó cứu hơn.
  • Quét và đối chiếu. Dùng công cụ quét để khoanh vùng, nhưng nhớ rằng quét tự động hiếm khi dọn sạch được cửa hậu.

Nếu bạn rành kỹ thuật, hoàn toàn có thể tự xử lý web nhỏ. Nhưng khi web đang ra tiền, đã tự gỡ mà nhiễm lại, hoặc không chắc đã sạch hẳn, thì nên để người làm chuyên xử lý dứt điểm. Web22 nhận xử lý mã độc website trọn gói: gỡ mã độc, truy diệt cửa hậu và vá lỗ hổng để web không nhiễm lại — xem thêm tại trang dịch vụ sửa chữa website.

Nhận ra sớm một dấu hiệu lạ là bạn đã đi trước kẻ tấn công một bước. Càng để web nhiễm lâu, thiệt hại về thứ hạng, uy tín và dữ liệu càng lớn — nên thấy bất thường là kiểm tra liền, đừng đợi khách báo.

Đọc tiếp

Bài viết
cùng chủ đề.

Tất cả bài viết
So sánh plugin quét mã độc WordPress (Wordfence, Sucuri, MalCare…) Cách bảo vệ WordPress khỏi nhiễm mã độc — checklist gia cố Cách dọn backdoor (cửa hậu) để mã độc không quay lại