Blog

Bật Mí Phương Pháp Kiểm Tra VPS Linux Có Traffic Bất Thường Do Virus

96

Sự cố Traffic bất thường trên một máy chủ VPS Linux có nhiều nguyên nhân, có thể do mã nguồn của trang web hoạt động trên VPS bị nhiễm virus, do lỗ hổng bảo mật của một dịch vụ nào đó trên VPS bị khai thác, hoặc do thông tin quản trị VPS được thiết lập đơn giản bị các hacker tận dụng để tải lên các script. Trong bài viết này sẽ trình bày cách kiểm tra sự cố Traffic bất thường liên quan đến mã nguồn trang web bị nhiễm virus.

Bước 1: Kiểm tra hoạt động bên trong VPS khi có cảnh báo

Khi hệ thống monitor phát hiện có lưu lượng traffic không bình thường, chúng ta sẽ truy cập vào VPS và kiểm tra xem có tiến trình nào đang hoạt động không bình thường trên VPS bằng lệnh top -c, ví dụ như trong hình ảnh dưới đây.

Dựa vào hình ảnh trên, tại thời điểm đó tài nguyên load average của CPU không có vấn đề gì đáng ngại, nhưng có một tiến trình với PID 14440 đang chạy file thực thi lạ có tên là qxkqb.php và đang sử dụng tài nguyên CPU cao nhất. Khi đó, chúng ta sẽ đi vào thư mục chứa file php đó và liệt kê danh sách các file có trong thư mục đó.

Trong thư mục đó, chúng ta thấy có một số file php có tên khá lạ, tiếp theo chúng ta sẽ mở từng file này lên và kiểm tra nội dung của chúng. Thông qua việc này, chúng ta sẽ phát hiện rằng các file chứa mã độc, virus. Chúng ta cũng có thể sử dụng các lệnh sau để tìm ra các file nghi ngờ chứa mã độc:

grep -Rn include *( /path_source
grep -Rn require *( /path_source
grep -Rn include_once *( /path_source
grep -Rn require_once *( /path_source
grep -Rn base64_decode *( /path_source
grep -Rn shell_exec *( /path_source

Thay thế “path_source” bằng đường dẫn chứa source nghi ngờ có chứa mã độc.
Từ đó, chúng ta đã xác định được nguồn gốc của các file thực thi gây ra lưu lượng traffic không bình thường.

Bước 2: Xử lý tạm thời để các tiến trình lạ không hoạt động

Trong hình ảnh thứ nhất, có một tiến trình lạ đang chạy với PID 14440, để dừng tiến trình này, bạn có thể sử dụng lệnh: kill -9 14440. Sau đó, hãy truy cập vào thư mục chứa các file php lạ như trong hình ảnh số hai và xóa chúng đi.

Để kiểm tra xem trên VPS còn tiến trình lạ nào hoạt động không, bạn có thể sử dụng lệnh top -c. Hãy theo dõi qua hệ thống monitor để xem xét xem có xuất hiện traffic lạ nào khác trên VPS không.

Bước 3: Khuyến cáo người dùng VPS xử lý triệt để các vấn đề

Thông báo đến người dùng về tình trạng mã nguồn của trang web chứa các file virus, mã độc. Yêu cầu người dùng phối hợp với nhà thiết kế web để kiểm tra lại toàn bộ mã nguồn, loại bỏ các file lạ có chứa mã độc, xử lý các lỗi bảo mật trong mã nguồn, cập nhật mã nguồn lên phiên bản mới nhất.

Việc xác định và xử lý traffic bất thường trên VPS Linux do virus là một nhiệm vụ quan trọng để bảo vệ dữ liệu và bảo mật hệ thống. Nếu phát hiện virus, cần phải loại bỏ virus và khôi phục dữ liệu bị ảnh hưởng. Việc duy trì các bản vá bảo mật thường xuyên, sử dụng phần mềm chống virus uy tín và cài đặt các quy tắc bảo mật mạng sẽ giúp phòng ngừa và giảm thiểu nguy cơ nhiễm virus.

Thông tin liên hệ:

  • Website: https://interdata.vn
  • Facebook: https://www.facebook.com/interdata.com.vn
  • Twitter: https://twitter.com/Interdatavn
  • Youtube: https://www.youtube.com/@interdata-vn
  • Linkedin: https://www.linkedin.com/in/interdata-vn/
  • Trụ sở chính: 48 Nguyễn Thị Huỳnh, Phường 11, Quận Phú Nhuận, Thành phố Hồ Chí Minh
  • VPGD: Số 211 Đường số 5, Khu Đô Thị Lakeview City, Phường An Phú, Thành phố Thủ Đức, Thành phố Hồ Chí Minh
  • Hotline: 1900.63.68.22

0 ( 0 bình chọn )

Thanh Yến Land

https://thanhyenland.vn
Thanhyenland.vn ✅ Chuyên Trang Tin Tức Tổng Hợp Về Các Lĩnh Vực Xây Dựng, Nhà Cửa, Phong Thủy & Review Đánh Giá

Ý kiến bạn đọc (0)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Bài viết liên quan

Bài viết mới

Xem thêm