Cách phát hiện server bị hack?

1. Kiểm tra các dấu hiệu bất thường

• Hiệu suất giảm đột ngột: CPU, RAM hoặc băng thông tăng đột biến không rõ lý do.

• Ổ cứng đầy bất thường: Tệp lạ hoặc log phình to.

• Quyền truy cập lạ: Xuất hiện user hoặc group mới mà bạn không tạo ra.

 

 

2. Soát log hệ thống

• Log đăng nhập (SSH, RDP): Xem /var/log/auth.log (Linux) hoặc Event Viewer (Windows) để phát hiện đăng nhập bất thường, đăng nhập thất bại lặp lại, IP lạ.

• Log web server: Kiểm tra file access.log hoặc error.log để xem các truy vấn lạ (SQLi, Shell upload, brute force).

 

3. Tìm file hoặc process lạ

• File shell hoặc backdoor: Kiểm tra thư mục web (/var/www/html, public_html) xem có file .php lạ, shell web, tên file giống bình thường nhưng nội dung đáng ngờ.

• Process khả nghi: Dùng ps aux hoặc top để xem có process lạ, script chạy ngầm, hoặc các tiến trình chạy với quyền root không rõ ràng.

 

4. Quét cổng & dịch vụ

• Dùng netstat -tulnp hoặc ss để xem cổng đang mở.

• Nếu xuất hiện dịch vụ hoặc cổng bạn không cài đặt (VD: server SMTP, proxy lạ) => dấu hiệu bị cấy mã độc.

 

5. So sánh checksum

• Dùng rpm -Va (RPM-based) hoặc debsums (Debian) để kiểm tra integrity của file hệ thống.

• So sánh hash MD5/SHA1 các file hệ thống quan trọng.

 

6. Cảnh báo từ hệ thống bảo mật

• IDS/IPS (Snort, OSSEC) cảnh báo.

• Email cảnh báo từ dịch vụ quản lý hosting, ISP hoặc bên thứ 3 về spam, DDoS, gửi mail rác từ server.

 

7. Triệu chứng dễ thấy bên ngoài

• Website bị chèn link lạ, chuyển hướng (redirect) đến trang cờ bạc, nội dung xấu.

• Email server gửi mail spam hàng loạt (bị blacklist IP).

• Google Search cảnh báo trang web bị hack, malware.

 

Hướng xử lý

Tách server khỏi mạng (nếu nghi ngờ nghiêm trọng).
Sao lưu log & bằng chứng.
Kiểm tra chi tiết, diệt mã độc.
Cập nhật bảo mật, thay mật khẩu toàn bộ.
Xem xét cài lại server nếu bị chiếm quyền root hoàn toàn.