Làm thế nào để phát hiện máy tính đã bị tấn công

08/07/2013

Phát hiện những cuộc tấn công không phải là một nhiệm vụ dễ dàng, nhất là đối với một người sử dụng không phải là chuyên gia về CNTT và an ninh mạng. Tuy nhiên, những dấu hiệu sau có thể cảnh báo hệ thống máy tính của người dùng đã bị hack.
 
Đối với hệ thống chạy theo hệ điều hành Windows
 
- Lưu lượng dữ liệu cao bất ngờ: Nếu bạn đang ở trên một tài khoản dial-up hoặc sử dụng ADSL và nhận thấy lưu lượng trao đổi với của mạng bên ngoài tăng lên bất thường, đặc biệt là khi máy tính đang ở chế độ nghỉ hoặc không tải dữ liệu (download/upload data) thì có thể là nó đã bị xâm nhập. Máy tính này có thể được sử dụng để gửi thư rác hoặc một sâu mạng nào đó. Các dữ liệu này có thể được gửi đi ngay trong quá trình người dùng duyệt các trang web hoặc tải các dữ liệu từ Internet.
 
- Gia tăng đáng ngờ hoạt động tìm kiếm tập tin đáng ngờ trong thư mục gốc: Sau khi xâm nhập vào hệ thống người dùng, hacker tìm kiếm những thông tin hữu ích từ việc quét các tập tin có chứa mật khẩu hoặc thông tin đăng nhập cho tài khoản ngân hàng hoặc ePayment như PayPal… Cũng bằng cách này, một số sâu mạng tìm kiếm các tập tin có chứa các địa chỉ email để sử dụng cho việc phát tán thư rác. Nếu người dung nhận thấy dấu hiệu, một hoặc nhiều ổ đĩa vẫn hoạt động ngay cả khi hệ thống không chạy và xuất hiện các tập tin nghi ngờ thì có thể hệ thống đã bị hack hoặc bị nhiễm phần mềm độc hại.
 
- Có lượng tin lớn đến từ một địa chỉ IP: Sau khi định vị mục tiêu (ví dụ: dải IP của công ty hoặc danh sách người dùng của nhà cung cấp dịch vụ mạng) tin tặc thường chạy các công cụ thăm dò tự động để tìm mọi cách để đột nhập vào hệ thống. Nếu người dùng sử dụng một tường lửa cá nhân và nhận thấy một số lượng lớn bất thường các gói tin bị chặn lại đến từ cùng một địa chỉ thì đây là một dấu hiệu cho máy tính đang bị tấn công. Hệ thống có thể an toàn nếu tường lửa cá nhân của người dùng báo cáo được các cuộc tấn công đã xảy ra. Tuy nhiên, tường lửa cá nhân có thể không bảo vệ người dùng chống lại một số loại tấn công. Trong trường hợp này, giải pháp là cố gắng ngăn chặn các IP vi phạm tạm thời cho đến khi kết nối dừng lại.
 
- Chương trình chống và diệt virus đột nhiên báo cáo rằng phát hiện được backdoor hay Trojan: Điều này thậm chí xuất hiện ngay cả khi người dùng không thực hiện bất cứ điều gì khác thường. Mặc dù các cuộc tấn công tin tặc có thể phức tạp và sáng tạo, dựa trên trojan hoặc backdoor đã biết hoặc chưa biết để truy cập vào một hệ thống. Nếu chương trình chống virus phát hiện và báo cáo là có phần mềm độc hại như vậy, thì điều này có thể là một dấu hiệu cho thấy hệ thống của người dùng có thể bị truy cập từ bên ngoài.
 
Đối với hệ thống chạy theo hệ điều hành Unix
 
- Nghi ngờ có tên tập tin trong thư mục /tmp: Hacker có thể tạo ra các file tạm thời trong thư mục tiêu chuẩn /tmp mà không phải lúc nào các file này cũng bị xóa sau khi hệ thống bị hack.
 
- Sửa đổi hệ thống tập tin nhị phân: Có thể là 'login', 'telnet', 'ftp', 'finger' hoặc các chương trình nền phức tạp hơn như 'sshd', 'ftpd'…. Sau khi đột nhập vào một hệ thống, Hacker thường duy trì truy cập bằng cách đặt một backdoor vào một trong những chương trình nền mà hệ thống thường xuyên truy cập trực tiếp vào Internet, hoặc bằng cách thay đổi các tiện ích hệ thống tiêu chuẩn được sử dụng để kết nối với các hệ thống khác. Những chương trình sửa đổi thường là một phần của một rootkit và chúng thường được 'tàng hình' để lọt qua các kiểm soát trực tiếp đơn giản.
 
- Sửa đổi các tập tin hệ thống khác trong thư mục /etc: Các tập tin nằm trong thư mục con /etc/passwd, /etc/shadow, hoặc đôi khi những cuộc tấn công có thể thêm một người dùng mới trong /etc/passwd để đăng nhập từ xa vào thời gian sau đó. Để kiểm tra xem hệ thống có bị hack không, hãy tìm kiếm tên người dùng nghi ngờ trong tập tin mật khẩu và theo dõi tất cả các thông tin bổ sung, điều này đặc biệt chú ý là đối với hệ thống đa người dùng.
 
- Dịch vụ đáng ngờ được thêm vào thư mục / etc /services: Mở ra một backdoor trong một hệ thống Unix đôi khi là một vấn đề thêm hai dòng văn bản. Điều này được thực hiện bằng cách sửa đổi /etc/services hoặc /etc/ined.conf. Giám sát chặt chẽ hai tập tin sẽ cho thấy những thông tin bổ sung mà có thể chỉ ra một backdoor liên quan tới một cổng không sử dụng hoặc đáng ngờ.
 
Nguyễn Ngoan (Nguồn http://www.securelist.com)