Traffic bất thường trên 1 VPS linux có nhiều nguyên nhân, có thể do mã nguồn website hoạt động trên VPS bị nhiễm virus, do lỗ hổng bảo mật của một service nào đó trên VPS bị khai thác , do thông tin quản trị VPS đặt đơn giản bị các hacker lợi dụng upload các script … Trong bài viết này sẽ mô tả cách kiểm tra traffic bất thường liên quan tới mã nguồn website bị nhiễm virus

Bước 1: Kiểm tra hoạt động bên trong VPS khi có cảnh báo traffic bất thường từ hệ thống monitor

• Khi hệ thống monitor có cảnh báo traffic bất thường chúng ta sẽ truy cập vào VPS và kiểm tra xem có tiến trình lạ nào trên VPS đang hoạt động không bằng lệnh top -c , ví dụ một trường hợp như hình ảnh  bên dưới

• Theo như hình ảnh trên thì tài nguyên load average của CPU tại thời điểm đó không có gì bất thường tuy nhiên có một tiến trình với PID 14440 hoạt động file thực thi lạ tên qxkqb.php đang sử dụng tài nguyên CPU cao nhất trong các tiến trình, Khi đó chúng ta sẽ đi tới thưc mục chứa file php trên và list danh sách các file có trong thư mục đó

• Theo như hình ảnh trên thì trong thư mục đó có chứa một số file php với tên lạ, chúng ta sẽ tiến hành mở các file đó lên và xem nội dung của file, Khi đó chúng ta sẽ thấy nội dung các file đó chứa các đoạn mã độc, virus. Chúng ta cũng có thể sử dụng một số lệnh bên dưới để tìm ra các file nghi ngờ có chứa các mã độc

                                                grep -Rn ‘include *(‘ /path_source

                                                grep -Rn ‘require *(‘ /path_source

                                                grep -Rn ‘include_once *(‘ /path_source

                                                grep -Rn ‘require_once *(‘ /path_source

                                                grep -Rn ‘base64_decode *(‘ /path_source

                                                grep -Rn ‘shell_exec *(‘ /path_source

                                                Thay thế path_source bằng đường dẫn chứa source nghi ngờ có chứa mã độc

• Tới đây chúng ta đã xác định được nguồn gốc các file thực thi phát tán các traffic lạ

Bước 2: Xử lý tạm thời để các tiến trình lạ không hoạt động 

• Như hình ảnh số 1 thì tiến trình lạ đang hoạt đông với PID 14440, để dừng tiến trình này ta dùng lệnh:  kill -9 14440
• Sau đó truy cập vào thư mục chứa các file php lạ ở hình ảnh số 2 và xóa bỏ các file đó 
• Kiểm tra lại bằng lệnh top -c xem trên VPS còn tiến trình lạ hoạt động không, Theo dõi qua hệ thống monitor xem các traffic lạ có còn xuất hiện trên VPS đó không

Bước 3: Khuyến cáo tới người dùng VPS xử lý triệt để vấn đề

• Thông báo tới người dùng về tình trạng mã nguồn của website có chứa các file virus, mã độc. Yêu cầu người dùng kết hợp với thiết kế website kiểm tra rà soát lại toàn bộ mã nguồn, xóa bỏ các file lạ có chứa mã độc, xử lý các lỗi bảo mật trong mã nguồn, Update mã nguồn lên version mới nhất.