Hướng dẫn xử lý khi website PHP bị tấn công mã độc

Khi phát hiện website PHP bị nhiễm mã độc (malware), bạn cần xử lý ngay để tránh mất dữ liệu, lây lan hoặc bị Google chặn. Dưới đây là các bước xử lý chuẩn:

 

 

1/ Tạm dừng và đổi mật khẩu

• Tạm khóa website, chặn truy cập nếu cần thiết.

• Đổi toàn bộ mật khẩu hosting, FTP, database, tài khoản quản trị.

 

2/ Quét và xác định mã độc

• Sử dụng trình quét mã độc trên hosting (ImunifyAV, ClamAV…) hoặc tải source về quét bằng phần mềm antivirus.

• Tìm các file lạ, file bị chèn mã độc (thường nằm trong thư mục uploads, tmp, cache, hoặc các file PHP có đoạn mã encode bất thường).

• Xem log server, so sánh với bản source sạch (nếu có) để phát hiện file bị chỉnh sửa.

 

3/ Làm sạch hoặc khôi phục

• Xóa toàn bộ file độc hại hoặc khôi phục source sạch từ bản backup an toàn.

• Nếu tự code PHP, cần kiểm tra kỹ:

  • Các file .php có dòng eval(), base64_decode(), gzinflate() đáng ngờ.

  • File .htaccess có redirect lạ hoặc rule ẩn.

• Xóa shell backdoor, file .php lạ ngoài thư mục code chính.

 

4/ Vá lỗ hổng

• Rà soát lỗ hổng upload file: Nếu website cho phép upload ảnh, hãy kiểm tra cơ chế kiểm tra định dạng, dung lượng, đổi tên file.

• Hạn chế quyền ghi thư mục (chmod), tắt quyền thực thi file PHP ở thư mục uploads.

• Xác minh các form nhập liệu, bổ sung kiểm tra đầu vào để chống chèn mã độc (SQL Injection, XSS).

 

5/ Tăng cường bảo mật

• Bật HTTPS nếu chưa có.

• Cài đặt tường lửa (Web Application Firewall) nếu server hỗ trợ.

• Giới hạn quyền truy cập SSH, FTP, sử dụng IP tĩnh hoặc SSH key.

• Thực hiện backup định kỳ và lưu bản backup ở nơi khác server.

 

6/ Kiểm tra blacklist

• Kiểm tra website có bị Google đánh dấu hay không (qua Google Safe Browsing).

• Nếu đã làm sạch, gửi yêu cầu gỡ cảnh báo để không ảnh hưởng SEO.

 

Lời khuyên

• Với website PHP tự code, bạn nên kiểm tra bảo mật định kỳ, đặc biệt các thư mục uploads.

• Sử dụng các công cụ kiểm tra mã nguồn tĩnh (Static Code Analysis) để phát hiện lỗ hổng sớm.