Hướng dẫn cách tìm kiếm và loại bỏ mã độc ra khỏi server

Thông thường các dịch vụ máy chủ thường có các hệ thống bảo mật cao. Tuy nhiên, cũng giống như các máy tính khác, trong quá trình hoạt động server không tránh khỏi tình trạng bị nhiễm virus, nhiễm mã độc. Để server hoạt động tốt, không gặp sự cố, gặp lỗi, doanh nghiệp thường xuyên check, tìm kiếm và loại bỏ các mã độc ra khỏi server của mình. Bài này VDO xin hướng dẫn các bạn cách tìm kiếm và loại bỏ mã độc ra khỏi server.

huong-dan-cach-tim-kiem-va-loai-bo-ma-doc-ra-khoi-server
Hướng dẫn cách tìm kiếm và loại bỏ mã độc ra khỏi server

Nguyên nhân khiến server bị nhiễm mã độc

Có rất nhiều nguyên nhân khiến server bị nhiễm mã độc, nguyên nhân chính là do khách hàng thường dùng các plugin, theme, module miễn phí được cài mã đọc, không rõ nguồn gốc hay do mã nguồn có các lỗ hổng bảo mật khiến kẻ xấu lợi dụng và ăn cắp thông tin gây ảnh hưởng lớn đến doanh nghiệp.

>> Lưu lượng thông tin, ổ cắm mạng là gì, không gian tủ rack là gì

>> Những lưu ý khi sử dụng dịch vụ thuê máy chủ

Cách tìm kiếm và loại bỏ mã độc ra khỏi server

Để tìm kiếm mã độc, doanh nghiệp cần quét toàn bộ dữ  liệu của mình bằng các công cụ Scan mã độc. Một số công cụ kiểm tra mã độc miễn phí như MalDet, ClamAV…Bạn có thể sử dụng và cài đặt, đây là 2 công cụ hỗ trợ tốt nhất hiện nay. Bài này mình hướng dẫn các bạn tìm kiếm và loại bỏ mã độc bằng ClamAV

Đầu tiên, để quét toàn bộ Server, bạn chạy theo lệnh sau:

# clamscan -ri /home -l /root/scan_log.txt

Sau khi chạy lệnh, ClamAV sẽ tự động quét toàn bộ hệ thống dữ liệu trong Server và lưu log các file  mã đọc vào file  /root/scan_log.txt

Sau khi ClamAV quét xong, bạn chỉ cần vào file /root/scan_log.txt và xóa chúng đi.

Tuy nhiên, một số trường hợp mã nguồn của bạn bị chèn các link Phisping hoặc bị chèn một số đoạn mã vào trong nguồn mà không thể quét và kiểm tra bằng ClamAV , thì bạn cần thực  hiện các thao tác sau:

  • Tìm kiếm các file có chứa đoạn mã bị chèn vào mã nguồn.
  • Kiểm tra các file bị upload hoặc bị chỉnh sửa gần đây để tìm kiếm các file nghi ngờ

Để tìm kiếm file mới được tạo, bạn chạy lệnh:

# find /home -ctime -10

Trong đó:
– home: thư mục tìm kiếm
– ctime : tìm các file mới được tạo ra
– 10: tìm các file được tạo ra trong vòng 10 ngày trở lại
Để tìm kiếm các file bị chỉnh sưa, bạn chạy lệnh
# find /home -mtime -10

Trong đó:
– home: thư mục tìm kiếm
– mtime : tìm các file mới bị chỉnh sửa
– 10: tìm các file bị chỉnh sửa trong vòng 10 ngày trở lại
*Lưu ý: Quý khách thay thư mục (/home) và ngày tìm kiếm theo mục đích mình tìm kiếm
Để tìm một đoạn mã cụ thể trong mã nguồn bạn chạy lệnh sau:
# find / -type f -exec grep -H ‘string’ {} \;

 *Lưu ý: thay thế ‘string’ bằng đoạn mã bạn cần tìm

Việc cần làm để tránh server bị nhiễm mã độc

  • Thường xuyên Scan dữ liệu Server
  • Có kế hoạch cụ thể việc backup dữ liệu
  • Không cài các plugin, module, theme…không rõ nguồn gốc. Thường xuyên update mã nguồn lên phiên bản mới nhất, tránh các lỗ hổng bảo mật của phiên bản cũ
  • Thay đổi mật khẩu quản trị theo chu kỳ và tránh bị đánh cắp

Từ khóa liên quan:

  • Diệt virus cho server
  • Diệt virus cho máy chủ
  • loại bỏ mã độc ra khỏi server