Việc các máy chủ bị hacker tấn công là việc thường xuyên xảy ra. Trong đó, có một lỗ hổng giúp hacker đẩy file mã độc vào máy chủ làm cho dịch vụ chạy theo hướng tiêu cực hoặc sai lệch, ….
Vì vậy, Onet sẽ chỉ các bạn một cách sử dụng script để giám sát và cảnh báo thì xuất hiện file là hay là bị mất file trong thư mục chạy dịch vụ của máy chủ.
MỤC LỤC
I. Mô hình lab
II. Kịch bản script
III. Script cảnh báo qua mail
IV. Script cảnh báo qua Telegram
V. Đặt crontab
VI. Kiểm tra kết quả
I. Mô hình
Máy chạy dịch vụ wordpress:
- IP : 10.10.34.163/24
- OS : CentOS-7
- Thư mục root của wordpress:
/var/www/html/ - Đã cài dịch vụ gửi mail ssmtp (Nếu sử dụng mail để cảnh báo)
II. Kịch bản của script
- Ban đầu, ta sẽ tạo 1 file
/opt/listPHPđể lưu danh sách các file ban đầu của dịch vụ. - Thêm 1 hoặc nhiều file vào thư mục
/var/www/html/ - Khi script chạy sẽ lấy danh sách các file vào thời điểm đó lưu vào
/opt/listPHP.tempvà so sánh với danh sách file trước đó.- 3.1. Nếu danh sách các file không thay đổi thì dừng lại. Đồng thời ghi log
/var/log/listPHP.log - 3.2. Nếu danh sách các file có sự khác nhau thì sẽ gửi cảnh báo về mail hoặc Telegram với tên các file khác nhau. Đồng thời ghi log vào
/var/log/listPHP.log
- 3.1. Nếu danh sách các file không thay đổi thì dừng lại. Đồng thời ghi log
- Sau khi kiểm tra và gửi cảnh báo (Nếu có khác nhau), script sẽ tiến hành lưu lại danh sách file hiện tại vào file
/opt/listPHPvà xóa file/opt/listPHP.temp.
III. Script cảnh báo qua mail
Tạo file script tại thư mục /opt
vi /opt/detect_strange_files.shNội dung script:
#!/bin/bash #~~~ SCRIPT DETECT STRANGE FILES WITH MAIL~~~# DATE=$(date) IP=$(hostname -I) HOSTNAME=$(hostname -f) MAIL='[email protected]' DIR='/var/www/html/' FILE_LIST='/opt/listPHP' TEMP_FILE='/opt/listPHP.temp' FILE_CHANGE='' #-----------------------------------# # Hàm kiểm tra thay đổi danh sách file f_check_change(){ ls $DIR > $TEMP_FILE if diff $FILE_LIST $TEMP_FILE ; then return 1 else return 0 fi } # Lấy danh sách file thay đổi f_get_file_change(){ cat $FILE_LIST >> $TEMP_FILE FILE_CHANGE=$(sort $TEMP_FILE | uniq -u) } # Gửi cảnh báo f_send_alert(){ # Nội dung cảnh báo MESS=$(echo -e "Subject: Detect_Strange_FilennThời gian: $DATEnHostname: $HOSTNAME IP: $IPnDanh sách các file bị mất hoặc mới được thêm vào:n-------n$FILE_CHANGE") echo "$MESS" | /usr/sbin/ssmtp $MAIL } # Xóa bỏ file temp f_remove_temp(){ rm -f $TEMP_FILE } #-----------------MAIN-----------------# main(){ if f_check_change; then echo "$DATE error : Have strange file !!!!" >> /var/log/listPHP.log f_get_file_change f_send_alert ls $DIR > $FILE_LIST else echo "$DATE OK" >> /var/log/listPHP.log fi f_remove_temp } #~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~# main exitCấp quyền thực thi:
chmod +x /opt/detect_strange_files.shTrong đó:
MAIL: email nhận cảnh báoDIR: Thư mục chứa các file dịch vụ cần giám sátFILE_LIST: File chứa danh sách các file trước lúc cảnh báoTEMP_FILE: File tạm để chứa danh sách các file lúc cảnh báo và để xử lý lấy tên các file lạFILE_CHANGE: Danh sách các file lạ
IV. Script cảnh báo qua Telegram
Cách tạo bot và sử dụng bot Telegram để cảnh báo.
Tạo file script tại thư mục /opt
vi /opt/detect_strange_files_telegram.shNội dung script
#!/bin/bash #~~~ SCRIPT DETECT STRANGE FILES ~~~# DATE=$(date) IP=$(hostname -I) HOSTNAME=$(hostname -f) TOKEN="API_bot_Token" ID="ID chat" URL="https://api.telegram.org/bot$TOKEN/sendMessage" DIR='/var/www/html/' FILE_LIST='/opt/listPHP' TEMP_FILE='/opt/listPHP.temp' FILE_CHANGE='' #-----------------------------------# f_check_change(){ ls $DIR > $TEMP_FILE if diff $FILE_LIST $TEMP_FILE ; then return 1 else return 0 fi } f_get_file_change(){ cat $FILE_LIST >> $TEMP_FILE FILE_CHANGE=$(sort $TEMP_FILE | uniq -u) } f_send_alert(){ # Nội dung cảnh báo MESS=$(echo -e "Subject: Detect_Strange_FilennThời gian: $DATEnHostname: $HOSTNAME IP: $IPnDanh sách các file bị mất hoặc mới được thêm vào:n-------n$FILE_CHANGE") curl -s -X POST $URL -d chat_id=$ID -d text="$MESS" } f_remove_temp(){ rm -f $TEMP_FILE } #-----------------------------------# main(){ if f_check_change; then echo "$DATE error : Have strange file !!!!" >> /var/log/listPHP.log f_get_file_change f_send_alert ls $DIR > $FILE_LIST else echo "$DATE OK" >> /var/log/listPHP.log fi f_remove_temp } main exitCấp quyền thực thi:
chmod +x /opt/detect_strange_files_telegram.shTrong đó:
TOKEN: API Token của bot bạn sử dụng để bắn cảnh báoID: ID chat bạn nhận cảnh báo
V. Set Crontab
Đặt crontab 30 phút kiểm tra một lần:
crontab -eThêm dòng sau:
*/30 * * * * /opt/detect_strange_files.sh > /dev/null 2>&1 */30 * * * * /opt/detect_strange_files_telegram.sh > /dev/null 2>&1Bạn có thể đặt thời gian ngắn để kiểm tra trước khi cho hoạt động chính thức.
VI. Kết quả
Thử thêm một file hacker.php vào thư mục /var/www/html/
touch /var/www/html/hacker.phpĐợi khi script chạy, ta sẽ nhận được cảnh báo ở mail ta sử dụng nhận cảnh báo tương tự như sau:
Hay khi cảnh báo qua Telegram:
Kiểm tra log trên máy chủ
tail -f /var/log/listPHP.logTa sẽ thấy log tương tự như sau:
Chúc các bạn thành công !
Chuỗi bài viết về script của Onet.
Tham khảo: https://ixnfo.com/en/script-for-email-notifications-when-detecting-prohibited-files.html
