Việc các máy chủ bị hacker tấn công là việc thường xuyên xảy ra. Trong đó, có một lỗ hổng giúp hacker đẩy file mã độc vào máy chủ làm cho dịch vụ chạy theo hướng tiêu cực hoặc sai lệch, ….

Vì vậy, Cloud365 sẽ chỉ các bạn một cách sử dụng script để giám sát và cảnh báo thì xuất hiện file là hay là bị mất file trong thư mục chạy dịch vụ của máy chủ.

MỤC LỤC
I. Mô hình lab
II. Kịch bản script
III. Script cảnh báo qua mail
IV. Script cảnh báo qua Telegram
V. Đặt crontab
VI. Kiểm tra kết quả

I. Mô hình

Máy chạy dịch vụ wordpress:

  • IP : 10.10.34.163/24
  • OS : CentOS-7
  • Thư mục root của wordpress: /var/www/html/
  • Đã cài dịch vụ gửi mail ssmtp (Nếu sử dụng mail để cảnh báo)

II. Kịch bản của script

  1. Ban đầu, ta sẽ tạo 1 file /opt/listPHP để lưu danh sách các file ban đầu của dịch vụ.
  2. Thêm 1 hoặc nhiều file vào thư mục /var/www/html/
  3. Khi script chạy sẽ lấy danh sách các file vào thời điểm đó lưu vào /opt/listPHP.temp và so sánh với danh sách file trước đó.
    • 3.1. Nếu danh sách các file không thay đổi thì dừng lại. Đồng thời ghi log /var/log/listPHP.log
    • 3.2. Nếu danh sách các file có sự khác nhau thì sẽ gửi cảnh báo về mail hoặc Telegram với tên các file khác nhau. Đồng thời ghi log vào /var/log/listPHP.log
  4. Sau khi kiểm tra và gửi cảnh báo (Nếu có khác nhau), script sẽ tiến hành lưu lại danh sách file hiện tại vào file /opt/listPHP và xóa file /opt/listPHP.temp.

III. Script cảnh báo qua mail

Tạo file script tại thư mục /opt

vi /opt/detect_strange_files.sh

Nội dung script:

#!/bin/bash

#~~~ SCRIPT DETECT STRANGE FILES WITH MAIL~~~#

DATE=$(date)
IP=$(hostname -I)
HOSTNAME=$(hostname -f)
MAIL='youremail@mail.com'

DIR='/var/www/html/'
FILE_LIST='/opt/listPHP'
TEMP_FILE='/opt/listPHP.temp'
FILE_CHANGE=''

#-----------------------------------#

# Hàm kiểm tra thay đổi danh sách file
f_check_change(){
    ls $DIR > $TEMP_FILE

    if diff $FILE_LIST $TEMP_FILE ; then
        return 1
    else
        return 0
    fi
}

# Lấy danh sách file thay đổi
f_get_file_change(){
    cat $FILE_LIST >> $TEMP_FILE
    FILE_CHANGE=$(sort $TEMP_FILE | uniq -u)
}

# Gửi cảnh báo
f_send_alert(){
    # Nội dung cảnh báo
    MESS=$(echo -e "Subject: Detect_Strange_File\n\nThời gian: $DATE\nHostname: $HOSTNAME  IP:  $IP\nDanh sách các file bị mất hoặc mới được thêm vào:\n-------\n$FILE_CHANGE")
    
    echo "$MESS" | /usr/sbin/ssmtp $MAIL
}

# Xóa bỏ file temp
f_remove_temp(){
    rm -f $TEMP_FILE
}

#-----------------MAIN-----------------#
main(){
    if f_check_change; then
        echo "$DATE error : Have strange file !!!!" >> /var/log/listPHP.log
        f_get_file_change
        f_send_alert
        ls $DIR > $FILE_LIST
    else
        echo "$DATE OK" >> /var/log/listPHP.log
    fi

    f_remove_temp
}
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~#

main
exit

Cấp quyền thực thi:

chmod +x /opt/detect_strange_files.sh

Trong đó:

  • MAIL : email nhận cảnh báo
  • DIR : Thư mục chứa các file dịch vụ cần giám sát
  • FILE_LIST : File chứa danh sách các file trước lúc cảnh báo
  • TEMP_FILE : File tạm để chứa danh sách các file lúc cảnh báo và để xử lý lấy tên các file lạ
  • FILE_CHANGE : Danh sách các file lạ

IV. Script cảnh báo qua Telegram

Cách tạo bot và sử dụng bot Telegram để cảnh báo.

Tạo file script tại thư mục /opt

vi /opt/detect_strange_files_telegram.sh

Nội dung script

#!/bin/bash

#~~~ SCRIPT DETECT STRANGE FILES ~~~#

DATE=$(date)
IP=$(hostname -I)
HOSTNAME=$(hostname -f)

TOKEN="API_bot_Token"
ID="ID chat"
URL="https://api.telegram.org/bot$TOKEN/sendMessage"

DIR='/var/www/html/'
FILE_LIST='/opt/listPHP'
TEMP_FILE='/opt/listPHP.temp'
FILE_CHANGE=''

#-----------------------------------#

f_check_change(){
    ls $DIR > $TEMP_FILE

    if diff $FILE_LIST $TEMP_FILE ; then
        return 1
    else
        return 0
    fi
}

f_get_file_change(){
    cat $FILE_LIST >> $TEMP_FILE
    FILE_CHANGE=$(sort $TEMP_FILE | uniq -u)
}

f_send_alert(){
    # Nội dung cảnh báo
    MESS=$(echo -e "Subject: Detect_Strange_File\n\nThời gian: $DATE\nHostname: $HOSTNAME  IP:  $IP\nDanh sách các file bị mất hoặc mới được thêm vào:\n-------\n$FILE_CHANGE")
    
    curl -s -X POST $URL -d chat_id=$ID -d text="$MESS"
}

f_remove_temp(){
    rm -f $TEMP_FILE
}

#-----------------------------------#
main(){
    if f_check_change; then
        echo "$DATE error : Have strange file !!!!" >> /var/log/listPHP.log
        f_get_file_change
        f_send_alert
        ls $DIR > $FILE_LIST
    else
        echo "$DATE OK" >> /var/log/listPHP.log
    fi

    f_remove_temp
}

main
exit

Cấp quyền thực thi:

chmod +x /opt/detect_strange_files_telegram.sh

Trong đó:

  • TOKEN : API Token của bot bạn sử dụng để bắn cảnh báo
  • ID : ID chat bạn nhận cảnh báo

V. Set Crontab

Đặt crontab 30 phút kiểm tra một lần:

crontab -e

Thêm dòng sau:

*/30 * * * * /opt/detect_strange_files.sh > /dev/null 2>&1
*/30 * * * * /opt/detect_strange_files_telegram.sh > /dev/null 2>&1

Bạn có thể đặt thời gian ngắn để kiểm tra trước khi cho hoạt động chính thức.

VI. Kết quả

Thử thêm một file hacker.php vào thư mục /var/www/html/

touch /var/www/html/hacker.php

Đợi khi script chạy, ta sẽ nhận được cảnh báo ở mail ta sử dụng nhận cảnh báo tương tự như sau:

Mail cảnh báo phát hiện file lạ hacker.php

Hay khi cảnh báo qua Telegram:

Tin nhắn cảnh báo qua Telegram

Kiểm tra log trên máy chủ

tail -f /var/log/listPHP.log

Ta sẽ thấy log tương tự như sau:

Log ghi lại thời gian và trạng thái khi script chạy

Chúc các bạn thành công !

Chuỗi bài viết về script của Cloud365.

Tham khảo: https://ixnfo.com/en/script-for-email-notifications-when-detecting-prohibited-files.html