Bài viết này sẽ giúp bạn xác định process nào đang bị nhiễm mã độc và làm ảnh hưởng đến dịch vụ đang chạy trên máy chủ.

Thực hiện theo các bước sau để kiểm tra

Mở CMD và kiểm tra các kết nối đang đến máy chủ

Hình 1: hiện đang có vài trăm kết nối.

Chạy lệnh netstat -nao | find “IP máy chủ”

Hình 2: show các kết nối

+ Cột cuối cùng là PID
+ Các socket TIME_WAIT "hơi lạ" là PID 0
+ Còn các socket đang hoạt động thì có PID "7968"

Xác định vị trí process “nghi ngờ” nhiễm mã độc

tasklist | find "7968"

Hình 3: xác định vị trí process có tên program là “MsServiceHosts.bin”

• Upload lên trang virusTotal để scan, thì “xác định” đây là mã độc

Hình 4: show mã độc trên trình duyệt VirusTotal

Thử kill tiến trình trên thì máy chủ không còn ddos nữa, connection đã giảm dần về còn 1 kết nối

Hình 5: 1 kết nối của 1 account đang chơi game

Trên là kinh nghiệm kiểm tra mã độc ddos lên máy chủ Server, nếu các bạn có cách kiểm tra nào hay hơn thì comment phía dưới để cùng nhau phát triển nhé.

Chúc các bạn thực hiện thành công!