Tìm kiếm các file mã độc trên server

Bài viết này hướng dẫn cho bạn cách tìm kiếm các file mã độc trên server và loại bỏ mã độc khỏi dữ liệu trên server của mình. Có rất nhiều nguyên nhân khiến dữ liệu của bạn bị nhiễm mã độc, một số nguyên nhân chính là do bạn dùng các theme, plugin, module miễn phí hoặc mã nguồn của bạn tồn tại các lỗ hổng bảo mật bị kẻ xấu lợi dụng khai thác.

1. Các thao tác kiểm tra và xử lý

Để kiểm tra tổng quát bạn cần quyét toàn bộ dữ liệu trên server của mình bằng các công cụ scan mã độc. bạn có thể dùng ClamAV để scan, đây là một công cụ được cung cấp miễn phí. bạn có thể tham khảo bài viết: http://vinahost.vn/ac/knowledgebase/143/Hng-dn-cai-t-ClamAV-vi-WHM.html để biết cách cài đặt và sử dụng ClamAV trên server cài Cpanel. Để thực hiện quét toàn bộ server bạn chạy lệnh sau:

 

# clamscan -ri /home -l /root/scan_log.txt

 

Khi thực hiện chạy lệnh trên ClamAV sẽ thực hiện quét toàn bộ các file trong thư mục /home và lưu log các file mã độc vào trong file /root/scan_log.txt. Sau khi thực hiện quét mã độc xong bạn kiểm tra file này để xem các file mã độc và xóa chúng đi. Trong một số trường hợp như mã nguồn của bạn bị chèn các link phishing hoặc bị chèn các đoạn mã vào trong mã nguồn mà không thể quét và kiểm tra bằng công cụ trên. bạn cần thực hiện các việc sau:

 

- Kiểm tra các file bị upload hoặc chỉnh sửa gần đây để tìm kiếm các file nghi ngờ sau đó kiểm tra cụ thể.

- Tìm kiếm các file có chứa đoạn mã bị chèn vào trong mã nguồn

 

Để tìm kiếm các file mới được tạo ra trên server bạn chạy lệnh sau:

 

# find /home -ctime -10

 

Trong đó:

- ctime : tìm các file mới được tạo ra
- 10: tìm các file được tạo ra trong vòng 10 ngày gần đây.

 

Nếu bạn muốn tìm các file bị chỉnh sửa bạn vui lòng thay thế "ctime" bằng "mtime" trong câu lệnh trên. Bạn lưu ý thay đổi ngày tìm kiếm và thư mục cần tìm kiếm (/home ) cho phù hợp.

Để tìm một đoạn mã cụ thể trong mã nguồn bạn chạy lệnh sau để tìm kiếm:

 

# find / -type f -exec grep -H 'string' {} \;

 

bạn lưu ý thay thế "string" bằng đoạn mã bạn cần tìm.

2. Các lưu ý để hạn chế việc dữ liệu của bạn bị nhiễm mã độc: 

- Thường xuyên kiểm tra dữ liệu website (để ý thời gian tập tin, thư mục bị thay đổi).

- Có kế hoạch backup dữ liệu cụ thể để lúc cần có thể restore lại ngay.

- Không nên cài đặt các module, plugin, extension,... không thật sự cần thiết và không rõ nguồn gốc (nên download module, plugin, extension,.... từ các trang web uy tín). Thường xuyên update mã nguồn lên phiên bản mới nhất để hạn chế các lỗi bảo mật trong các phiên bản trước

- Nên đổi mật khẩu quản trị theo 1 chu kỳ định sẵn và lưu giữ cẩn thận.

 

Chỉ với những thao tác trên thì dữ liệu của bạn đã được an toàn.

 

Tham khảo:

- http://www.clamav.net/doc/install.html
Chúc bạn thành công!