Cách phát hiện server bị hack?
1. Kiểm tra các dấu hiệu bất thường
-
Hiệu suất giảm đột ngột: CPU, RAM hoặc băng thông tăng đột biến không rõ lý do.
-
Ổ cứng đầy bất thường: Tệp lạ hoặc log phình to.
-
Quyền truy cập lạ: Xuất hiện user hoặc group mới mà bạn không tạo ra.
2. Soát log hệ thống
-
Log đăng nhập (SSH, RDP): Xem
/var/log/auth.log(Linux) hoặc Event Viewer (Windows) để phát hiện đăng nhập bất thường, đăng nhập thất bại lặp lại, IP lạ. -
Log web server: Kiểm tra file
access.loghoặcerror.logđể xem các truy vấn lạ (SQLi, Shell upload, brute force).
3. Tìm file hoặc process lạ
-
File shell hoặc backdoor: Kiểm tra thư mục web (
/var/www/html,public_html) xem có file.phplạ, shell web, tên file giống bình thường nhưng nội dung đáng ngờ. -
Process khả nghi: Dùng
ps auxhoặctopđể xem có process lạ, script chạy ngầm, hoặc các tiến trình chạy với quyền root không rõ ràng.
4. Quét cổng & dịch vụ
-
Dùng
netstat -tulnphoặcssđể xem cổng đang mở. -
Nếu xuất hiện dịch vụ hoặc cổng bạn không cài đặt (VD: server SMTP, proxy lạ) => dấu hiệu bị cấy mã độc.
5. So sánh checksum
-
Dùng
rpm -Va(RPM-based) hoặcdebsums(Debian) để kiểm tra integrity của file hệ thống. -
So sánh hash MD5/SHA1 các file hệ thống quan trọng.
6. Cảnh báo từ hệ thống bảo mật
-
IDS/IPS (Snort, OSSEC) cảnh báo.
-
Email cảnh báo từ dịch vụ quản lý hosting, ISP hoặc bên thứ 3 về spam, DDoS, gửi mail rác từ server.
7. Triệu chứng dễ thấy bên ngoài
-
Website bị chèn link lạ, chuyển hướng (redirect) đến trang cờ bạc, nội dung xấu.
-
Email server gửi mail spam hàng loạt (bị blacklist IP).
-
Google Search cảnh báo trang web bị hack, malware.
Hướng xử lý
Tách server khỏi mạng (nếu nghi ngờ nghiêm trọng).
Sao lưu log & bằng chứng.
Kiểm tra chi tiết, diệt mã độc.
Cập nhật bảo mật, thay mật khẩu toàn bộ.
Xem xét cài lại server nếu bị chiếm quyền root hoàn toàn.
