Trước tiên, chúng ta cần kiểm tra một số thông tin cơ bản của hệ thống Linux:

• netstat -ano hoặc netstat -a: Để xem tình trạng cổng mạng.
• uname -a: Lấy thông tin chi tiết về hệ điều hành.
• ps -aux hoặc ps -ef: Liệt kê các tiến trình đang chạy.
• cat /etc/passwd: Xem danh sách người dùng trên hệ thống.
• ls /home/: Kiểm tra các thư mục người dùng.

Tiếp theo là kiểm tra các tệp nhật ký quan trọng:

• /var/log/nginx/: Nhật ký mặc định của Nginx.
• /var/log/apache/ và /var/log/apache2/: Nhật ký Apache.
• /usr/local/tomcat/logs: Nhật ký Tomcat.

Các lệnh hữu ích khác:

• tail -f xxx.log: Theo dõi nhật ký thời gian thực.
• find /var/www/html -name _.php -mmin -20: Tìm các tệp PHP được sửa đổi trong 20 phút qua.
• grep -r --include=_.php 'eval($_POST' /var/www/html: Tìm các tệp PHP chứa hàm eval().

Đối với mã độc “không chết”, có thể sử dụng lệnh sau để loại bỏ (chỉ là giải pháp tạm thời):

1

<?php system("kill -9 pid; rm -rf .shell.php"); ?>

Kiểm Tra Hệ Thống Windows

Với hệ thống Windows, cần thực hiện các bước sau:

1. Kiểm Tra Nhật Ký Hệ Thống:

   • Nhấn tổ hợp phím Win + R, nhập eventvwr.msc để mở Trình Quản Lý Sự Kiện.
   • Tập trung vào các hoạt động đáng ngờ trong khoảng thời gian bị tấn công.

2. Kiểm Tra Tiến Trình:

   • Nhấn Ctrl + Shift + Esc để mở Trình Quản Lý Nhiệm Vụ.
   • Sắp xếp theo mức độ sử dụng mạng để tìm các tiến trình tiêu thụ nhiều băng thông.
   • Sử dụng chuột phải để xác định vị trí vật lý của tệp.

3. Kiểm Tra Các Mục Khởi Động:

   • Nhấn Win + R, nhập msconfig.exe để mở Cấu Hình Hệ Thống.
   • Kiểm tra các mục khởi động tự động.

4. Kiểm Tra Người Dùng Bóng Ma:

   • Mở Registry Editor, truy cập KEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/.
   • Tìm kiếm các tài khoản không rõ nguồn gốc và xóa chúng.

Thiết Bị Bảo Mật

WAF (Web Application Firewall)

• Phần lớn lưu lượng tấn công đều thuộc dạng HTTP/HTTPS.
• Cần phân tích gói dữ liệu để phát hiện các cuộc tấn công.

Các Loại Payload

Payload Cơ Bản:

• SQL Injection, XSS, XXE, SSTI, Command Injection, Code Injection, Request Smuggling, Reverse Shell, Webshell Upload.

Payload Phức Tạp:

• Deserialization Payloads, Encoded Payloads, Webshell Communication.
• Các kỹ thuật vượt qua bảo mật như {IFS}, %00, /\*\*/, 0x1212123213.

Truy Vết Nguồn Gốc

Mạng Lưới:

• Nhật ký thiết bị bảo mật, hệ thống nhận thức tình huống, phân tích nhật ký để định vị IP nguồn.
• Có thể sử dụng kỹ thuật xã hội học hoặc khai thác lỗ hổng trong công cụ của kẻ tấn công để tìm ra IP thật.

Máy Chủ:

Người Dùng:

• Kiểm tra lịch sử đăng nhập, tìm kiếm các tài khoản bất thường hoặc tài khoản ẩn.

Tiến Trình:

• Phát hiện các tiến trình đặc quyền, tiến trình ẩn hoặc những tiến trình chiếm dụng tài nguyên cao.

Kết Nối Mạng:

• Kiểm tra các kết nối giữa máy chủ và các máy khác, đặc biệt là các đường hầm DNS.

Phương Pháp Kiên Trì:

• Webshell, SSH backdoor, ICMP tunneling, DNS tunneling,…

Các Lỗ Hổng Web Chính

SQL Injection:

• Nguyên Nhân: Không lọc đầu vào người dùng đúng cách.
• Phân Loại:
  • Theo kiểu đóng dấu: String-based, Integer-based.
  • Theo phương thức truyền dữ liệu: POST-based, GET-based.
  • Chi Tiết Cách Thực Hiện: Union Query Injection, Error-based Injection, Boolean-based Blind Injection, Time-based Blind Injection, Wide Character Injection.

Các hàm thường dùng trong lỗi báo lỗi:

• UpdateXML(), Floor(), Extractvalue().

Đặc điểm của Time-based Blind Injection:

• Không hiển thị kết quả trực tiếp.
• Dựa vào thời gian phản hồi của trang web.
• Thường dùng hàm sleep() hoặc điều kiện if.

Đặc điểm của Boolean-based Blind iwin68.club phiên bản mới Injection:

• Dựa vào trạng thái đúng/sai của trang web.
• Các hàm thường dùng: length(), substr(), mid(), left(), ascii().

Quy Trình Hand Inject SQL:

1. Định vị điểm注入.
2. Xác định kiểu inject.
3. Xác định phương thức submit.
4. Sử dụng câu j88vip0 lệnh order by để đếm số trường.
5. Sử dụng union select để lấy dữ liệu.
6. Lấy thông tin về user, database, version.
7. Truy vấn bảng, cột và giá trị.

Phản Ứng Khẩn Cấp

Linux Server:

1. Quét webshell bằng công cụ như Hippo hoặc D盾.
2. Kiểm tra nhật ký truy cập web để tìm dấu vết của webshell.
3. Kiểm tra lưu lượng cảnh báo từ các thiết bị an ninh.
4. Sử dụng lệnh find để tìm và xóa webshell.

Trong Thời Gian HW:

1. Chặn IP nguồn tấn công.
2. Điều chỉnh chiến lược bảo mật, hạ tuyến hệ thống nếu cần thiết.
3. Báo cáo sự cố lên hệ thống quản lý.

Phương Pháp Tìm Webshell:

• Sử dụng lệnh find để tìm kiếm dựa trên tên tệp và đường dẫn.
• Quét bằng công cụ Hippo hoặc D盾.

Quy Trình Phản Ứng:

1. Phát hiện sự cố.
2. Phân tích và đánh giá tác động.
3. Chặn đứng cuộc tấn công.
4. Sửa chữa và phục hồi hệ thống.
5. Báo cáo và rút kinh nghiệm.

Công Cụ Phổ Biến:

• Hỏa Long Kiếm, D盾, Hippo (dùng cho cả Linux và Windows), MicroStep Cloud Sandbox.

Kiểm Tra Tiến Trình Và Registry:

• Hỏa Long Kiếm có thể xem nhanh tiến trình và registry.
• LastActivityView j88 online giúp theo dõi hoạt động gần đây.

Tổng Kết Top 10 Lỗi An Ninh:

1. Kiểm Soát Truy Cập Yếu.
2. Cơ Chế Mã Hóa Không Hiệu Quả.
3. Tiêm Mã (SQL Injection, XSS,…).
4. Thiết Kế Không An Toàn.
5. Cấu Hình Sai Lầm.
6. Sử Dụng Thành Phần Cũ Hoặc Có Lỗi.
7. Sai Lầm Về Xác Thực.
8. Thiếu Kiểm Tra Độ Tích Hợp Phần Mềm Và Dữ Liệu.
9. Nhật Ký Và Giám Sát Không Hiệu Quả.
10. SSRF (Server-Side Request Forgery).

Đặc Điểm Các Công Cụ Quản Trị:

• Cài Đao: Quản trị từ xa dành cho Windows, viết bằng ASP.
• Băng Scorpion: Viết bằng Java, hỗ trợ mã hóa AES128.
• Giant Ant: Viết bằng C#, mã hóa mạnh mẽ.
• Godzilla: Viết bằng C#, có nhiều plugin mạnh mẽ.

Mỗi công cụ có những đặc điểm riêng về cách mã hóa và giao tiếp, ví dụ như sử dụng AES, XOR, hoặc các giao thức tùy chỉnh để tránh bị phát hiện bởi tường lửa ứng dụng (WAF).