Những biểu hiện thường gặp server hosing đang chứa mã độc là thực hiện gửi spam mail, brute force ssh, DOS… tới server khác. Thông thường bạn sẽ nhận được cảnh báo này từ nhà cung câp dịch vụ server, vps… Sau đây là một số thủ thuật giúp bạn nhanh chóng phát hiện tài khoản nào đang bị hacker kiểm soát.
1 Kiểm tra bằng lệnh top
Trên server hosting sẽ có nhiều tài khoản chạy đồng thời. Tài khoản bị tấn công thường xuất hiện liên tục ở những hàng đầu khi gõ lệnh top. Ở cột command sẽ xuất hiện những lệnh thường gặp như perl, python, host, mail…
Hình bên trên cho biết tài khoản noithat đang chạy các tiến trình perl
2 Kiêm tra file log apache
Các tài khoản hosting chữa mã độc thường được hacker điều khiển bằng cách gửi POST request tới website.
Một tài khoản đang bị tấn công thông qua đường dẫn http://domain.com/wp-content/themes/saladmag/css/general19.php
3 Tìm kiếm các file nghi vấn khác trên tài khoản user.
Tìm kiếm các file mới được up lên.
# cd /home/noithat/public_html
# find . -name “*.php” -mtime -14
Tìm kiếm các script có khả năng chữa mã độc.
# find . -type f -name ‘*.php’ | xargs egrep -i “(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|base64_decode) *\(”
4 Tìm kiếm mã độc thông qua những email đang gửi spam
Các tài khoản bị tấn công đa phần sẽ thực hiện gửi spam mail. Do đó việc kiểm tra script đang gửi spam mail sẽ tìm ra được vị trí mã nguồn bị tấn công.
nguồn: http://hotrovps.info/linux/tim-kiem-ma-doc-tren-server-hosting-linux.html
0 Comments