Chuyển tới nội dung chính

Checklist Kiểm Tra Server Sau Khi Bị Xâm Nhập

Giới Thiệu

Khi server của bạn bị tấn công và xâm nhập, đó là một tình huống khẩn cấp đòi hỏi hành động nhanh chóng và có hệ thống. Mục tiêu chính không chỉ là loại bỏ kẻ tấn công mà còn là hiểu rõ cách thức xâm nhập, mức độ thiệt hại, và đảm bảo rằng không có backdoor nào còn sót lại. Việc thực hiện mởt checklist kiểm tra sau hack giúp bạn thực hiện các bước cần thiết một cách có tổ chức, giảm thiểu rủi ro tái nhiễm và khôi phục hoạt động bình thường của hệ thống.

Bài viết này cung cấp một checklist từng bước để bạn có thể kiểm tra server của mình sau một sự cố an ninh, từ việc cô lập hệ thống đến việc làm sạch và củng cố bảo mật.

📋 Thời gian: 120-240 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện checklist này, bạn cần có:

  • Quyền truy cập root (Linux) hoặc Administrator (Windows) vào server.
  • Kiến thức cơ bản về dòng lệnh (CLI) của hệ điều hành server.
  • Công cụ SSH client (cho Linux) hoặc Remote Desktop/Console (cho Windows).
  • Kết nối mạng an toàn (để tải công cụ nếu cần) hoặc truy cập trực tiếp qua KVM/console.
  • Khuyến nghị: Một bản sao lưu (backup) hệ thống gần nhất (trước khi bị hack) để tham chiếu hoặc khôi phục.

Các Bước Thực Hiện

Bước 1: Ngắt Kết Nối Mạng và Cô Lập Hệ Thống ⚠️

Ngay lập tức, việc đầu tiên cần làm là cô lập server khỏi mạng để ngăn chặn kẻ tấn công tiếp tục hoạt động, lây lan mã độc hoặc xóa dấu vết.

  • Hành động: Tắt cổng mạng vật lý hoặc vô hiệu hóa card mạng. Nếu không thể tắt vật lý, hãy cấu hình tường lửa để chặn tất cả lưu lượng truy cập ngoại trừ các địa chỉ IP đáng tin cậy (ví dụ: IP máy tính của bạn) để bạn có thể làm việc.
  • Lưu ý: Đảm bảo bạn vẫn có quyền truy cập qua console vật lý (KVM) hoặc một kết nối quản lý ngoài băng tần (OOB) để tiếp tục công việc.
# Ví dụ trên Linux: Vô hiệu hóa card mạng eth0
sudo ip link set eth0 down

# Ví dụ trên Windows (trong PowerShell với quyền Admin):
# Tắt một card mạng tên "Ethernet"
Disable-NetAdapter -Name "Ethernet"

Bước 2: Tạo Bản Sao Forensic (Tùy chọn nhưng rất khuyến nghị) 💡

Nếu có khả năng, hãy tạo một bản sao đĩa cứng (disk image) của server trước khi thực hiện bất kỳ thay đổi nào. Bản sao này sẽ là bằng chứng pháp y quan trọng và cho phép bạn phân tích sâu hơn mà không ảnh hưởng đến hệ thống đang bị xâm nhập.

  • Hành động: Sử dụng công cụ như dd (Linux) hoặc các công cụ forensic chuyên dụng để tạo bản sao. Lưu trữ bản sao này trên một thiết bị lưu trữ ngoài an toàn.
# Ví dụ trên Linux: Tạo bản sao của toàn bộ đĩa sda
# Đảm bảo /mnt/forensics là một ổ đĩa ngoài đã được mount
sudo dd if=/dev/sda of=/mnt/forensics/disk_image.dd bs=4M status=progress

Bước 3: Kiểm Tra Log Hệ Thống

Log là nhật ký hoạt động của hệ thống và là nguồn thông tin quý giá để tìm hiểu cách thức kẻ tấn công đã xâm nhập và những gì chúng đã làm.

  • Kiểm tra:
    • Log đăng nhập: auth.log (Linux), Security Event Log (Windows). Tìm kiếm các đăng nhập thành công/thất bại bất thường, đăng nhập từ IP lạ, thời gian lạ.
    • Log hệ thống chung: syslog, kern.log (Linux), System Event Log (Windows). Tìm kiếm lỗi, cảnh báo, hoặc hoạt động đáng ngờ.
    • Log ứng dụng: apache/nginx access/error logs, database logs, application-specific logs. Tìm kiếm các yêu cầu lạ, lỗi, hoặc truy cập trái phép.
    • Lịch sử lệnh (nếu có): ~/.bash_history (Linux). Kẻ tấn công có thể đã xóa hoặc sửa đổi nó.
# Ví dụ trên Linux:
# Kiểm tra các đăng nhập thất bại và thành công gần đây
grep "Failed password" /var/log/auth.log | tail -n 50
grep "Accepted password" /var/log/auth.log | tail -n 50

# Kiểm tra các lệnh đã chạy trong lịch sử (nếu không bị xóa)
cat ~/.bash_history

# Kiểm tra log Apache/Nginx
tail -n 100 /var/log/apache2/access.log

Bước 4: Kiểm Tra Tài Khoản Người Dùng và Quyền Hạn

Kẻ tấn công thường tạo tài khoản mới hoặc leo thang đặc quyền của tài khoản hiện có để duy trì quyền truy cập.

  • Kiểm tra:
    • Tài khoản người dùng: Tìm kiếm các tài khoản mới, tài khoản có tên lạ, hoặc tài khoản có quyền root/admin không hợp lệ.
    • Quyền sudoers (Linux): Kiểm tra file /etc/sudoers và các file trong /etc/sudoers.d/ để tìm các mục nhập đáng ngờ.
    • Tài khoản hệ thống: Kiểm tra các file /etc/passwd/etc/shadow (Linux).
    • Khóa SSH: Kiểm tra file ~/.ssh/authorized_keys của tất cả người dùng để tìm khóa công khai lạ.
# Ví dụ trên Linux:
# Liệt kê tất cả người dùng trên hệ thống
cat /etc/passwd | cut -d: -f1

# Kiểm tra các tài khoản có UID 0 (root)
grep ":0:0:" /etc/passwd

# Kiểm tra các mục trong sudoers
grep -E 'ALL\s*=\s*\((ALL)\)\s*ALL' /etc/sudoers /etc/sudoers.d/*

# Kiểm tra khóa SSH đã ủy quyền
find /home -name "authorized_keys" 2>/dev/null

Bước 5: Kiểm Tra Các Tiến Trình Đang Chạy và Kết Nối Mạng

Tìm kiếm các tiến trình lạ, tiến trình chạy trên các cổng không chuẩn, hoặc các kết nối mạng ra bên ngoài không mong muốn.

  • Kiểm tra:
    • Tiến trình: Sử dụng ps aux (Linux), Task Manager (Windows) để xem tất cả các tiến trình đang chạy. Tìm kiếm các tiến trình có tên lạ, tài nguyên sử dụng cao bất thường, hoặc tiến trình chạy từ các thư mục không chuẩn.
    • Kết nối mạng: Sử dụng netstat -tulnp (Linux), netstat -ano (Windows) để xem các cổng đang mở và các kết nối mạng hiện tại. Tìm kiếm các cổng mở không mong muốn, kết nối đến các IP lạ.
# Ví dụ trên Linux:
# Liệt kê tất cả tiến trình đang chạy
ps aux

# Liệt kê các cổng đang mở và tiến trình nghe
sudo netstat -tulnp

# Liệt kê các file đang mở bởi các tiến trình (bao gồm kết nối mạng)
sudo lsof -i

Bước 6: Kiểm Tra Các File Bị Sửa Đổi Gần Đây và File Lạ

Kẻ tấn công thường tải lên các file độc hại, sửa đổi file cấu hình, hoặc tạo backdoor.

  • Kiểm tra:
    • Tìm các file mới hoặc bị sửa đổi trong các thư mục quan trọng như /tmp, /var/tmp, /etc, thư mục gốc của web server (/var/www/html, /srv/www), /bin, /sbin.
    • Sử dụng lệnh find để tìm các file được sửa đổi trong một khoảng thời gian cụ thể.
    • Kiểm tra tính toàn vẹn của các file hệ thống quan trọng bằng công cụ như rpm -Va (CentOS/RHEL) hoặc debsums (Debian/Ubuntu).
# Ví dụ trên Linux:
# Tìm các file được sửa đổi trong 24 giờ qua (toàn bộ hệ thống, bỏ qua lỗi quyền)
find / -mtime -1 -type f 2>/dev/null

# Tìm các file thực thi đáng ngờ trong /tmp hoặc /var/tmp
find /tmp -type f -perm /a+x 2>/dev/null
find /var/tmp -type f -perm /a+x 2>/dev/null

Bước 7: Kiểm Tra Các Task Định Kỳ (Cron Jobs / Scheduled Tasks)

Kẻ tấn công thường thiết lập các cron jobs (Linux) hoặc Scheduled Tasks (Windows) để duy trì quyền truy cập (persistence) hoặc thực hiện các hành động độc hại định kỳ.

  • Kiểm tra:
    • Cron Jobs (Linux): Kiểm tra crontab -l cho từng người dùng (bao gồm root), các thư mục /etc/cron.d/, /etc/cron.hourly/, /etc/cron.daily/, /etc/cron.weekly/, /etc/cron.monthly//var/spool/cron.
    • Scheduled Tasks (Windows): Sử dụng Task Scheduler hoặc lệnh schtasks /query /v.
# Ví dụ trên Linux:
# Liệt kê cron job của người dùng hiện tại
crontab -l

# Liệt kê cron job của người dùng khác (thay 'username' bằng tên người dùng)
sudo crontab -u username -l

# Kiểm tra các cron job hệ thống
ls -la /etc/cron.*
cat /etc/crontab

Bước 8: Kiểm Tra Các Backdoor và Rootkits

Rootkit là một loại mã độc tinh vi được thiết kế để ẩn mình và che giấu sự hiện diện của kẻ tấn công.

  • Hành động: Sử dụng các công cụ chuyên dụng để quét rootkit như chkrootkitrkhunter.
# Ví dụ trên Linux (Debian/Ubuntu):
# Cài đặt chkrootkit
sudo apt update && sudo apt install chkrootkit -y
# Chạy chkrootkit
sudo chkrootkit

# Cài đặt rkhunter
sudo apt install rkhunter -y
# Cập nhật và chạy rkhunter
sudo rkhunter --update
sudo rkhunter --check

Bước 9: Làm Sạch, Cập Nhật và Củng Cố Hệ Thống ✅

Sau khi đã xác định và loại bỏ tất cả dấu vết của kẻ tấn công, tiến hành các bước làm sạch và củng cố bảo mật.

  • Hành động:
    • Xóa bỏ mã độc và backdoor: Xóa tất cả các file, tài khoản, cron jobs, hoặc tiến trình độc hại đã tìm thấy.
    • Cập nhật hệ thống: Đảm bảo tất cả phần mềm và hệ điều hành đều được cập nhật lên phiên bản mới nhất để vá các lỗ hổng đã biết.
    • Thay đổi mật khẩu: Thay đổi tất cả mật khẩu, bao gồm root/admin, người dùng, dịch vụ, và khóa SSH.
    • Cấu hình tường lửa: Thiết lập hoặc củng cố tường lửa để chỉ cho phép các dịch vụ cần thiết và từ các IP tin cậy.
    • Kiểm tra và cấu hình lại SSH: Vô hiệu hóa đăng nhập root qua SSH, sử dụng xác thực khóa SSH, và đổi cổng SSH mặc định.
    • Khôi phục từ backup (nếu cần): Nếu mức độ xâm nhập quá lớn, việc khôi phục server từ một bản backup sạch (trước khi bị hack) là lựa chọn an toàn nhất.
# Ví dụ trên Linux:
# Cập nhật hệ thống (Debian/Ubuntu)
sudo apt update && sudo apt upgrade -y
# Cập nhật hệ thống (CentOS/RHEL)
sudo yum update -y

# Thay đổi mật khẩu người dùng (thay 'username' bằng tên người dùng)
sudo passwd username

# Khởi động lại dịch vụ SSH sau khi thay đổi cấu hình
sudo systemctl restart sshd

Troubleshooting

  • Không thể truy cập server sau khi cô lập: Đảm bảo bạn có quyền truy cập qua console vật lý hoặc KVM. Kiểm tra lại cấu hình mạng hoặc tường lửa nếu bạn đã chặn quá nhiều.
  • Log bị xóa/sửa đổi: Đây là dấu hiệu của một cuộc tấn công tinh vi. Hãy cố gắng tìm kiếm các dấu vết khác hoặc khôi phục log từ hệ thống ghi log tập trung (nếu có).
  • Công cụ kiểm tra bị vô hiệu hóa: Kẻ tấn công có thể đã thay thế các lệnh hệ thống hoặc vô hiệu hóa các công cụ bảo mật. Cố gắng sử dụng các công cụ từ một môi trường tin cậy khác (ví dụ: live CD/USB).
  • Quá nhiều cảnh báo giả (false positives): Việc phân biệt giữa hoạt động hợp pháp và mã độc đôi khi khó khăn. Cần kinh nghiệm và sự hiểu biết về hoạt động bình thường của hệ thống. Nếu không chắc chắn, hãy tham khảo tài liệu hoặc tìm kiếm sự trợ giúp từ chuyên gia bảo mật.

Kết Luận

Việc kiểm tra và khôi phục server sau khi bị hack là một quá trình phức tạp nhưng vô cùng quan trọng. Bằng cách tuân thủ checklist này, bạn có thể thực hiện một cuộc điều tra có hệ thống, loại bỏ mối đe dọa và củng cố hệ thống của mình.

Best Practices để ngăn chặn các cuộc tấn công trong tương lai:

  • Cập nhật thường xuyên: Luôn giữ hệ điều hành và tất cả phần mềm được cập nhật.
  • Giám sát log liên tục: Thiết lập hệ thống giám sát log tập trung và cảnh báo tự động.
  • Sử dụng tường lửa và IDS/IPS: Triển khai tường lửa mạnh mẽ và hệ thống phát hiện/ngăn chặn xâm nhập.
  • Hạn chế quyền truy cập: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege).
  • Đào tạo người dùng: Nâng cao nhận thức về an ninh mạng cho tất cả người dùng.
  • Kiểm tra an ninh định kỳ: Thực hiện đánh giá lỗ hổng và kiểm thử xâm nhập thường xuyên.
  • Sao lưu dữ liệu: Duy trì các bản sao lưu dữ liệu quan trọng và kiểm tra khả năng khôi phục định kỳ.

Xem thêm: