Bài viết này sẽ hướng dẫn khách hàng làm thế nào bạn có thể xác định nơi chứa các mã độc phát tán thư rác trên VPS (Virtual Private Server) hoặc Server sử dụng mail Exim.Khách hàng có thể thực hiện theo các bước như sau:
- Truy cập vào VPS hoặc Server thông qua quyền root.
- Kiểm tra số lượng Mail Queue hiện có bằng lệnh:
# exim –bpc
# exim –bp ( lệnh này sẽ hiển thị từng ID của mail)
Các bước để xác định mã độc:
- Sau khi đã kiểm tra số lượng Mail Queue trên hệ thống, khách hàng có thể làm theo một số bước sau đây để tìm kiếm địa chỉ email phát tán thư rác:
# exim –Mvh mail_id ( lệnh này sẽ cho khách hàng xem được header của email, ở đây khách hàng có thể xem được scripts chứa mã độc tại X-PHP-Script)
Lưu ý: Ở bước này đôi khi khách hàng sẽ không thấy được header của email, nguyên nhân là do khách hàng chưa cấu hình trong file phpi.ini, để có thể bật tính năng này lên khách hàng có thể làm theo các bước sau đây:
Tìm file cấu hình php.ini trên hệ thống bằng lệnh: # php -i | grep php.ini ( ví dụ ở đây sẽ là Loaded Configuration File => /usr/local/lib/php.ini)
Vào file php.ini và thay đổi thông số sau:
mail.add_x_header = On
mail.log = /var/log/phpmail.log
Sau đó lưu lại cấu hình
# exim –Mvl mail_id ( lệnh này sẽ cho khách hàng được nội dung của email)
- Khách hàng có thể xem đường đi của email gửi ra bằng lệnh:
# exim -d –bt test@email.com (xem đường đi của email test gửi ra)
- Để có thể xác định được log của Exim khách hàng có thể kiểm tra trong file cấu hình /etc/exim.conf để có thể biết chính xác đường dẫn tới thư mục chứa log file.
- Ngoài ra khi sau khi khách hàng thực hiện việc kiểm tra header email tuy nhiên không tìm được mã độc phát tán email, khách hàng có thể chạy lệnh sau đây để kiểm tra số lượng truy cập vào các thư mục:
# grep cwd /var/log/exim_mainlog | grep -v /var/spool | awk -F"cwd=" '{print $2}' | awk '{print $1}' | sort | uniq -c | sort –n
- Lệnh này sẽ cho khách hàng thấy được thư mục nào được truy cập vào nhiều nhất, để khách hàng có thể truy cập vào thư mục đó để kiểm tra xem thử có mã độc tồn tài trong thư mục này hay không.
- Hoặc kiểm tra log bằng lệnh:
# tailf /var/log/exim_mainlog ( để kiểm tra thử tài khoản email nào tiến hành phát tiến thư rác)
- Sau khi kiểm tra được file chứa mã độc phát tán thư rác ra ngoài làm ảnh hướng tới việc hoặc động của hệ thống khách hàng có thể thực hiện tiếp các thao tác sau đây để kiểm tra và khắc phục:
- Lệnh này sẽ giúp khách hàng kiểm tra được số lượng IP truy cập vào để gửi mail rác
#grep "profile.php" /home/xxx/access-logs/xxx.com | awk '{print $1}' | sort -n | uniq -c | sort –n (xxx ở đây sẽ là tên user của thư mục hoặc có thể là domain của website)
- Khách hàng có thể thực hiện việc chặn IP này truy cập vào thư mục này để phát tán thư rác bằng lệnh:
# apf -d xxx.xxx.xxx.xxx "Spamming from script in /home/xxx/public_html/xxx/" ( ở đây xxx.xxx.xxx.xxx sẽ là IP mà khách hàng muốn chặn truy cập)
Ngoài việc chặn IP truy cập bằng apf khách hàng có thể chặn trong file .htaccess của website bằng cách sau:
order allow,deny
deny from 255.0.0.0 ( IP cần chặn truy cập)
deny from 123.45.6.
- Ngoài ra khách hàng có thể vô hiệu hóa mã độc bằng cách phân quyền file chứa mã độc bằng lệnh:
# chmod 000 file.php
- Hoặc xóa bỏ file chứa mã độc bằng lệnh:
# rm -rf file.php
Sau khi hoàn tất kiểm tra và khắc phục sự cố phát tán thư rác trên hệ thống, khách hàng có thể thực hiện một số bước tiếp theo để ngăn chặn trường hợp này tái diến xảy ra:
- Rà soát lại toàn bộ mã nguồn trên hệ thống của mình. Khách hàng có thể tham khảo bài viết sau đây: http://vinahost.vn/ac/knowledgebase/151/Tim-kim-cac-file-ma-c-tren-server.html
- Phân quyền chính xác và an toàn các thư mục và file trên hệ thống.
- Thay đổi toàn bộ password các tài khoản bằng password phức tạp. Khách hàng có thể tham khảo bài viết: http://vinahost.vn/ac/knowledgebase/202/Hng-dn-t-mt-khu-phc-tp-va-d-nh.html
- Sử dụng các themes và plugin an toàn.
Ngoài ra nếu trong trường hợp phát tán thư rác làm ảnh hướng tới IP của khách hàng bị liệt vào danh sách đen của các tổ chức chống phát tán thư rác, khách hàng có thể tham khảo bài viết sau đây để loại bỏ IP của mình ra khỏi danh sách đen: http://vinahost.vn/ac/knowledgebase/190/Hng-dn-x-ly-va-kim-tra-khi-IP-b-lit-vao-danh-sach-Blacklist.html