Kiểm tra vps bị tấn công sử dụng tài nguyên bất thường

Khi một VPS chạy CyberPanel đột nhiên chậm đi rõ rệt, tải trang lâu, CPU và RAM thường xuyên chạm ngưỡng cao dù lưu lượng truy cập không tăng tương ứng, đó hiếm khi là chuyện ngẫu nhiên. Phía sau hiện tượng này thường là một tiến trình bất thường đang tiêu tốn tài nguyên, website bị chèn mã độc, hoặc máy chủ đang bị bot và công cụ tự động trên Internet khai thác liên tục. Việc kiểm tra cần được thực hiện song song trên giao diện quản trị và ở cấp độ hệ điều hành thông qua SSH để có cái nhìn đầy đủ.

Ngay tại trang chính của CyberPanel, các biểu đồ sử dụng CPU, RAM và ổ đĩa phản ánh tình trạng tổng quan của hệ thống. Khi CPU duy trì ở mức cao trong thời gian dài, bạn nên đăng nhập SSH để xem chi tiết tiến trình nào gây ra tải lớn. Sau khi kết nối vào VPS bằng tài khoản quản trị, có thể sử dụng lệnh sau để theo dõi tài nguyên theo thời gian thực.

top

Danh sách hiển thị cho thấy tiến trình nào đang chiếm nhiều CPU và bộ nhớ nhất. Nếu muốn sắp xếp lại theo mức sử dụng CPU từ cao xuống thấp, có thể nhấn phím Shift và P trong giao diện này. Để xem rõ đường dẫn thực thi của một tiến trình đáng ngờ, dùng lệnh sau với mã PID tương ứng.

ps -fp PID

Trong nhiều trường hợp, công cụ htop cho giao diện trực quan hơn. Nếu hệ thống chưa cài, có thể cài đặt rồi chạy ngay.

yum install htop -y
htop

Hoặc trên hệ Ubuntu.

apt install htop -y
htop

Nếu RAM gần đầy và hệ thống bắt đầu dùng vùng hoán đổi trên ổ đĩa, hiệu năng sẽ giảm mạnh. Kiểm tra nhanh tình trạng bộ nhớ bằng lệnh.

free -m

Song song với đó, dung lượng lưu trữ cũng cần được kiểm tra. Khi ổ đĩa đầy nhanh bất thường, hãy xem phân vùng nào đang sử dụng nhiều dung lượng.

df -h

Để tìm thư mục chiếm nhiều dung lượng nhất trong khu vực chứa website, có thể dùng.

du -h --max-depth=1 /home | sort -hr | head -n 10

Nếu nghi ngờ một website cụ thể, đi sâu hơn vào thư mục của nó.

du -h --max-depth=1 /home/tenuser | sort -hr | head -n 10

Trong CyberPanel, phần quản lý file giúp quan sát trực tiếp mã nguồn. Tuy nhiên, qua SSH bạn có thể tìm nhanh các file PHP mới bị chỉnh sửa gần đây, điều rất hữu ích khi nghi ngờ bị chèn mã độc.

find /home -type f -name "*.php" -mtime -2

Kết quả hiển thị các file PHP thay đổi trong hai ngày gần nhất. Nếu bạn không cập nhật website mà vẫn thấy nhiều file thay đổi, cần kiểm tra nội dung ngay. Để tìm những đoạn mã thường được mã độc sử dụng nhằm che giấu hành vi, có thể tìm kiếm trong toàn bộ mã nguồn.

grep -R "base64_decode" /home
grep -R "eval(" /home
grep -R "gzinflate" /home

Những hàm này xuất hiện không phải lúc nào cũng là mã độc, nhưng nếu nằm trong file lạ hoặc mã bị làm rối, khả năng nhiễm độc rất cao.

Log truy cập trong CyberPanel cho thấy lưu lượng bất thường, nhưng từ SSH bạn có thể đếm nhanh số kết nối đồng thời tới máy chủ web.

netstat -antp | grep :80 | wc -l

Nếu con số quá lớn so với mức truy cập bình thường, máy chủ có thể đang bị flood request. Để xem địa chỉ IP nào tạo nhiều kết nối nhất, sử dụng.

netstat -antp | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | tail

Danh sách này giúp xác định IP đáng nghi để chặn trên tường lửa. Khi nghi ngờ VPS bị lợi dụng gửi thư rác, cần kiểm tra hàng đợi email trên hệ thống. Với máy chủ dùng Exim, lệnh sau cho biết tổng số email đang chờ gửi.

exim -bpc

Nếu số lượng lớn bất thường, có thể xem chi tiết một email trong hàng đợi.

exim -bp

Ngoài tài nguyên và lưu lượng mạng, tài khoản người dùng trên hệ thống cũng cần được kiểm tra. Lệnh sau liệt kê toàn bộ user hiện có.

cat /etc/passwd

Nếu xuất hiện tài khoản lạ có quyền truy cập shell, rất có thể máy chủ đã bị xâm nhập sâu hơn. Một vị trí khác hacker thường cài cơ chế tự khởi động lại mã độc là các tác vụ tự động. Hãy xem các tác vụ được thiết lập cho người dùng hiện tại.

crontab -l

Và kiểm tra các thư mục tác vụ hệ thống.

ls /etc/cron*

Nếu phát hiện lệnh chạy file lạ trong thư mục tạm hoặc thư mục website, cần xử lý ngay vì đây thường là cách mã độc tự phục hồi sau khi bị xóa.

Toàn bộ quá trình kiểm tra cho thấy rõ một điều: CyberPanel cung cấp cái nhìn trực quan ở bề mặt, còn SSH giúp đi sâu vào bên trong hệ điều hành để tìm đúng nguyên nhân VPS tiêu tốn tài nguyên. Khi phát hiện dấu hiệu bất thường như tiến trình lạ, file bị chỉnh sửa trái phép, kết nối mạng tăng đột biến hoặc hàng đợi mail phình to, việc đầu tiên nên làm là đổi toàn bộ mật khẩu quan trọng, sau đó cô lập website nghi nhiễm và tiến hành làm sạch hệ thống. Chỉ khi loại bỏ được nguyên nhân gốc rễ, VPS mới thực sự trở lại trạng thái ổn định thay vì tiếp tục bị âm thầm khai thác tài nguyên.