Gợi ý giải yêu cầu Pha 1:
[h=2]1.Rà soát sơ bộ tình trạng, khắc phục tạm thời.[/h]
- Cách khắc phục tạm thời: Tạo một file HTML tĩnh (index.html) với nội dung thông báo website đang bảo trì tại thư mục “C:xampphtdocs”. (Để ứng phó nhanh nên xây dựng sẵn mẫu bảo trì cho website để sử dụng khi gặp sự cố).
- Các dấu hiệu bất thường trên máy tính:
- Khi đã xác định được trang web bị tấn công, tiến hành rà soát các file độc hại ở trong thư mục web (C:xampphtdocs). Sử dụng các trình editor để tìm kiếm theo các hàm nguy hiểm thường được sử dụng trong web shell (Một số hàm phổ biến: preg_replace, passthru, shell_exec, exec, base64_decode, eval, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source).
Khi sử dụng “
Notepad++” để tìm các hàm trong tất cả các file trong thư mục web, phát hiện có file shell“
C:xampphtdocsfilesfirefox.PHP” có chứa nhiều hàm nguy hiểm như “
system, exec, eval, popen,… ” hơn nữa file này có ở trong thư mục upload file của website.
Ngoài ra có thể sử dụng thêm một số công cụ hỗ trợ như Web Shell Detector để quét các định dạng shell phức tạp hơn (sử dụng mã hóa tên, mã hóa mã nguồn…).
- Rà soát các tiến trình của hệ thống. Sử dụng “Process Explorer” để kiểm tra các tiến trình đang chạy. Phát hiện tiến trình đáng ngờ là “Chrome.exe”, tiến trình này không có chữ ký, không có thông tin version và không có mô tả. Ngoài ra đường dẫn của chương trình lại nằm ở thư mục “C:xamppmysqlchrome.exe”.
- Con đường lây lan của mã độc, cơ sở xác định: Qua thông tin website bị deface và đường dẫn của file shell tại thư mục upload file của website. Có thể dự đoán hacker đã tấn công qua lỗ hổng web và upload file độc hại lên server.
