Cách Tìm Mã Độc Backdoor, Shell Trong VPS Linux Nhanh Chóng

Bài viết này không phải là cách làm triệt để truy tìm Shell, Backdoor, bạn nên dùng các công cụ mạnh hơn đầy đủ hơn như ClamAV, Imunify360 mà ECShop Lab sẽ giới thiệu trong một bài viết sắp tới.

Phạm vi bài viết này ECShop Lab chỉ ví dụ cho bạn hiểu rõ hơn về tác dụng của lệnh Find khi bạn quản lí VPS

Câu Lệnh find

Câu lệnh find trong Linux được dùng để tìm kiếm tập tin và thư mục dựa trên các điều kiện đầu vào khác nhau. Tương tự như câu lệnh ls thì câu lệnh find cũng là một trong những câu lệnh được sử dụng phổ biến trên Linux.

Cú Pháp:

Trong đó:

• Tuỳ chọn -P (là tuỳ chọn mặc định): không tìm kiếm các tập tin hay thư mục lối tắt liên kết tới tập tin hay thư mục khác (hay còn gọi là symbolic link).
• Tuỳ chọn -L (là tuỳ chọn mặc định): tìm kiếm tất cả các tập tin hay thư mục bao gồm các lối tắt liên kết tới tập tin hay thư mục khác.
• Tuỳ chọn -H: không tìm kiếm các tập tin hay thư mục lối tắt liên kết tới tập tin hay thư mục khác trừ khi xử lý đối số truyền vào câu lệnh.
• Tuỳ chọn -D (Debug Options): quy định các tuỳ chọn giúp gỡ rối.
• Tuỳ chọn -O (level): sử dụng khi muốn tối ưu tốc độ của câu lệnh.

Ví dụ lệnh Find Trong Linux

• $ find /home -name doc.txt -name doc.txt -name ecshop.txt --> tìm kiếm tập tin và thư mục với tên hoclaptrinh.txt nằm trong thư mục /home
• $ find /home -name doc.txt -name ecshop* --> tìm kiếm tập tin và thư mục với tên bắt đầu được bắt đầu bởi chuỗi hoclaptrinh nằm trong thư mục /home
• $ find /home -type f -name ecshop.txt --> chỉ tìm kiếm cho tập tin với tên hoclaptrinh.txt sử dụng tuỳ chọn -type với giá trị là f (viết tắt của file) trong địa chỉ thư mục /home
• $ find /home  -type f -name "*.html" --> sử dụng ký tự đại diên hay wild card * kết hợp với tuỳ chọn -type để tìm kiếm tất cả các tập tin HTML nằm trong thư mục /home

Tìm Kiếm Shell, Backdoor Linux

Qua ví dụ trên ta áp dụng qua việc tìm kiến Shell, Backdoor với dấu hiệu thường gặp là tên và đuôi tập tin như: .exe, shell, r57, c99, php

• $ find /home -type f -name  "*.exe" -print
• $ find /home -type f -name  "*shell*" -print
• $ find /home -type f -name  "*r57*" -print
• $ find /home -type f -name  "*c99*" -print
• $ find /home -type f -name  "*c99*" -print

Tùy chọn -print là in kết quả tìm thấy ra màn hình. Nhưng nếu bạn tìm thấy in ra và thực hiện xóa luôn thì làm như sau:

• $ find /home -type f -name  "*.exe" -print -exec rm -f {} \;
• $ find /home -type f -name  "*shell*" -print -exec rm -f {} \;

Đối với các Tool, phần mềm chuyên dụng, ngoài việc tìm kiếm tên file, tệp tin có dấu hiệu đáng ngờ, chúng còn đọc nội dung file để Scan - quét tìm kiếm những đoạn mã độc

Kết Luận

Hy vong qua bài viết này giúp bạn hiểu hơn về cách sử dụng lệnh Find, qua đó biết cách vận dụng để tìm kiếm Shell, Backdoor trên VPS của mình.