Kiểm tra máy tính có bị xâm nhập

Nhập thông tin để đánh giá mức độ rủi ro bảo mật của máy tính bạn

Trong thời đại số hóa, máy tính của bạn có thể trở thành mục tiêu của tin tặc bất cứ lúc nào. Theo báo cáo của CISA (Cơ quan An ninh Hạ tầng và An ninh Mạng Mỹ), có hơn 400,000 vụ tấn công mạng được ghi nhận mỗi ngày trên toàn cầu. Bài viết này sẽ hướng dẫn bạn cách phát hiện dấu hiệu xâm nhập và bảo vệ máy tính hiệu quả.

1. Dấu hiệu máy tính bị xâm nhập phổ biến

1.1. Hiệu suất hệ thống bất thường

• Máy tính chạy chậm đột ngột: CPU sử dụng 100% khi không chạy chương trình nặng
• Ổ cứng hoạt động liên tục: Đèn ổ cứng nhấp nháy thường xuyên dù không làm gì
• Quạt tản nhiệt quay mạnh: Máy nóng bất thường khi không sử dụng ứng dụng đòi hỏi tài nguyên cao

1.2. Hoạt động mạng đáng ngờ

• Lượng dữ liệu upload/download tăng đột biến (kiểm tra trong Task Manager)
• Kết nối đến các địa chỉ IP lạ (sử dụng lệnh netstat -ano trong CMD)
• Tốc độ internet chậm bất thường dù đường truyền ổn định

1.3. Thay đổi hệ thống không rõ nguyên nhân

• Xuất hiện các tệp tin, thư mục lạ với tên kỳ lạ (ví dụ: ~$*.tmp, autorun.inf)
• Cài đặt hệ thống bị thay đổi (ví dụ: trang chủ trình duyệt, DNS)
• Xuất hiện các chương trình lạ trong danh sách khởi động (msconfig)

Nguồn tham khảo:

Báo cáo về các dấu hiệu xâm nhập phổ biến từ US-CERT (Đơn vị Đối phó Khẩn cấp Máy tính Mỹ)

2. Cách kiểm tra máy tính bị xâm nhập chi tiết

2.1. Kiểm tra các tiến trình đang chạy

1. Mở Task Manager (Ctrl+Shift+Esc)
2. Kiểm tra tab “Processes” để tìm các tiến trình lạ:
3. Chú ý đến các tiến trình sử dụng nhiều CPU/mạng nhưng bạn không nhận ra
4. Tìm kiếm tên tiến trình trên Google nếu nghi ngờ

Các tiến trình đáng ngờ thường gặp

Tên tiến trình	Mô tả	Mức độ nguy hiểm
svchost.exe (nhiều instance)	Quá trình hệ thống hợp pháp, nhưng có thể bị lừa đảo	Trung bình
lsass.exe	Quá trình xác thực Windows, mục tiêu phổ biến của malware	Cao
explorer.exe (nhiều instance)	Quá trình quản lý tệp, có thể bị giả mạo	Cao
Tên ngẫu nhiên (vd: a1b2c3.exe)	Tên không rõ ràng, thường là malware	Rất cao

2.2. Kiểm tra kết nối mạng

1. Mở Command Prompt (Admin)
2. Gõ lệnh: netstat -ano | findstr ESTABLISHED
3. Kiểm tra các kết nối đến địa chỉ IP lạ:
4. Sử dụng VirusTotal để kiểm tra IP đáng ngờ

2.3. Quét hệ thống bằng công cụ chuyên dụng

Sử dụng các công cụ sau để quét sâu:

• Windows Defender Offline Scan: Quét khi khởi động, phát hiện rootkit
• Malwarebytes: Phát hiện phần mềm độc hại và PUPs (Potentially Unwanted Programs)
• GMER: Công cụ chuyên sâu phát hiện rootkit
• RogueKiller: Phát hiện và loại bỏ malware tiên tiến

2.4. Kiểm tra các tài khoản người dùng

1. Mở Computer Management (compmgmt.msc)
2. Đi đến Local Users and Groups > Users
3. Kiểm tra các tài khoản lạ hoặc tài khoản Administrator không rõ nguồn gốc
4. Xóa các tài khoản đáng ngờ (trừ tài khoản hệ thống như DefaultAccount)

3. Các công cụ kiểm tra xâm nhập chuyên nghiệp

So sánh công cụ kiểm tra xâm nhập

Công cụ	Đặc điểm nổi bật	Giá	Đánh giá
Windows Defender	Tích hợp sẵn, quét cơ bản, cập nhật thường xuyên	Miễn phí	7.5/10
Malwarebytes	Phát hiện malware tiên tiến, giao diện thân thiện	$39.99/năm	9.2/10
Kaspersky TDSSKiller	Chuyên phát hiện rootkit, quét sâu hệ thống	Miễn phí	8.8/10
GMER	Công cụ chuyên sâu cho chuyên gia, phát hiện rootkit	Miễn phí	8.5/10
Wireshark	Phân tích giao thức mạng, phát hiện hoạt động đáng ngờ	Miễn phí	9.0/10

4. Các bước xử lý khi phát hiện xâm nhập

4.1. Ngắt kết nối mạng ngay lập tức

• Rút cáp mạng hoặc tắt WiFi
• Ngăn chặn kẻ tấn công điều khiển từ xa
• Giảm thiểu thiệt hại lan rộng

4.2. Sao lưu dữ liệu quan trọng

1. Sử dụng ổ đĩa ngoài hoặc dịch vụ đám mây
2. Không sao lưu các tệp thực thi (.exe, .dll)
3. Quét virus tệp sao lưu trước khi khôi phục

4.3. Cài đặt lại hệ điều hành

Trong hầu hết trường hợp xâm nhập nghiêm trọng:

1. Sao lưu dữ liệu quan trọng
2. Format ổ đĩa và cài đặt lại hệ điều hành
3. Cập nhật tất cả bản vá bảo mật
4. Khôi phục dữ liệu đã quét sạch

4.4. Thay đổi tất cả mật khẩu

• Mật khẩu tài khoản ngân hàng, email, mạng xã hội
• Sử dụng mật khẩu mạnh (ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt)
• Bật xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng

5. Phòng ngừa xâm nhập trong tương lai

5.1. Cập nhật hệ thống thường xuyên

Theo thống kê từ NIST, 90% các cuộc tấn công thành công khai thác lỗ hổng đã có bản vá. Luôn:

• Bật cập nhật tự động cho hệ điều hành
• Cập nhật driver phần cứng
• Cập nhật tất cả phần mềm, đặc biệt là trình duyệt và plugin

5.2. Sử dụng phần mềm bảo mật đa lớp

• Phần mềm diệt virus (Bitdefender, Kaspersky)
• Tường lửa cá nhân (Windows Firewall, GlassWire)
• Công cụ chống malware (Malwarebytes)
• Phần mềm chống ransomware (Cybereason RansomFree)

5.3. Thực hành an toàn khi duyệt web

• Không click vào liên kết đáng ngờ trong email
• Sử dụng trình duyệt có bảo mật tốt (Firefox, Brave)
• Cài đặt extension chặn quảng cáo và tracker (uBlock Origin)
• Kiểm tra HTTPS trước khi nhập thông tin nhạy cảm

5.4. Sao lưu dữ liệu định kỳ

Áp dụng quy tắc sao lưu 3-2-1:

• 3 bản sao lưu
• 2 phương tiện lưu trữ khác nhau
• 1 bản lưu trữ ngoài site (đám mây hoặc ổ đĩa ngoại vi ở nơi khác)

Nguồn tham khảo:

Hướng dẫn phòng ngừa xâm nhập từ SANS Institute

6. Khi nào nên tìm đến chuyên gia

Trong một số trường hợp, bạn nên cân nhắc thuê chuyên gia bảo mật:

• Phát hiện phần mềm gián điệp (spyware) hoặc keylogger
• Máy tính thuộc mạng doanh nghiệp bị xâm nhập
• Dữ liệu nhạy cảm (tài chính, y tế) có thể đã bị đánh cắp
• Không thể loại bỏ hoàn toàn malware sau nhiều lần thử
• Xuất hiện cảnh báo từ cơ quan chức năng về vi phạm dữ liệu

Chi phí thuê chuyên gia bảo mật dao động từ $150-$500/giờ tùy mức độ phức tạp, nhưng đây là khoản đầu tư đáng giá để bảo vệ dữ liệu quan trọng.

7. Các nguồn tài nguyên hữu ích

• US-CERT – Cập nhật cảnh báo bảo mật mới nhất
• VirusTotal – Kiểm tra tệp và URL đáng ngờ
• Have I Been Pwned – Kiểm tra email có trong vụ rò rỉ dữ liệu
• No More Ransom – Công cụ giải mã ransomware
• SANS Reading Room – Tư liệu bảo mật chuyên sâu