Kiểm tra và xử lý khi Server bị tấn công

Một số trường hợp như mã nguồn của bạn bị chèn các link phishing hoặc bị chèn các đoạn mã vào trong mã nguồn mà không thể quét và kiểm tra bằng công cụ, bị hack, dính shell độc, virus, độc hại

Kiểm tra

File bị upload hoặc chỉnh sửa gần đây để tìm kiếm các file nghi ngờ sau đó kiểm tra cụ thể

Để tìm kiếm các file mới được tạo ra trên server bạn chạy lệnh sau:

find /home -ctime -10

• ctime : tìm các file mới được tạo ra
• 10: tìm các file được tạo ra trong vòng 10 ngày gần đây

Chạy lệnh kiểm tra tiến trình: 

Ví dụ: lienvu

ps -ef | grep lienvu

Cần kill đi các tiến trình lạ

Quét mã độc

Quét projec xem có dính các đoạn mã thực thi

find /home/domain.com/public_html -iname "*.php" -type f -exec grep -qi "eval(" '{}' \; -print

 

Các lưu ý để hạn chế việc dữ liệu của bạn bị nhiễm mã độc

1. Thường xuyên kiểm tra dữ liệu website (để ý thời gian tập tin, thư mục bị thay đổi).
2. Có kế hoạch backup dữ liệu cụ thể để lúc cần có thể restore lại ngay.
3. Không nên cài đặt các module, plugin, extension,… không thật sự cần thiết và không rõ nguồn gốc
4. Nên đổi mật khẩu quản trị theo 1 chu kỳ định sẵn và lưu giữ cẩn thận.