Dành cho ai đang học CHFI hoặc CySA+ — 24 tình huống thực chiến, có log thật, config editor, service manager và gợi ý từng bước.

Bộ Lab Này Là Gì?

IT-Master — Fix the System là một simulator Incident Response chạy hoàn toàn trên trình duyệt. Bạn không cần cài máy ảo, không cần Docker, không cần môi trường lab phức tạp — chỉ cần mở file index.html là bắt đầu thực hành ngay.

Bộ lab mô phỏng môi trường server Linux thực tế, yêu cầu người học phân tích log, chỉnh sửa file cấu hình và xử lý các sự cố bảo mật — đúng như những gì kỹ sư SOC, DFIR và sysadmin làm hàng ngày.

Các Tính Năng Chính

24 Tình Huống Thực Tế — 4 Cấp Độ

🟢 Beginner (Tình huống 1–6)

Các lỗi cấu hình cơ bản thường gặp nhất trong thực tế:

• #1 Wrong Database Password — sai mật khẩu trong .env
• #2 SSH Service Not Running — SSH không khởi động sau reboot
• #3 Nginx Wrong Port — server lắng nghe sai cổng
• #4 Missing Node.js Runtime — thiếu runtime sau khi migrate server
• #5 DNS Resolution Failure — DNS trỏ đến server đã bị tắt
• #6 Wrong File Ownership — PHP không đọc được file vì sai owner

🟡 Intermediate (Tình huống 7–12)

Các lỗi phức tạp hơn, liên quan đến nhiều thành phần:

• #7 502 Bad Gateway — Nginx upstream trỏ sai port
• #8 Disk Full / MySQL Crashing — log Apache không rotate, ăn hết 35GB
• #9 SSL Certificate Expired — cert hết hạn, chưa cập nhật đường dẫn mới
• #10 Missing Environment Variable — thiếu STRIPE_SECRET_KEY trong .env
• #11 Cron Job Path Error — script backup bị move nhưng crontab chưa cập nhật
• #12 PHP Memory Limit — WordPress crash vì memory_limit = 32M

🔴 Advanced (Tình huống 13–20)

Các tình huống bảo mật và kiến trúc hệ thống:

• #13 Brute Force Account Lockout — xử lý tấn công từ TOR exit node
• #14 Microservice Cascade Failure — Redis chết kéo sập cả chuỗi thanh toán
• #15 Docker Container Won’t Start — lỗi volume path + port conflict
• #16 Firewall Blocking Legitimate Traffic — hardening quá mức chặn cả SSH và HTTPS
• #17 Log4Shell Mitigation — vá CVE-2021-44228 khẩn cấp
• #18–20 Database Replication, API Rate Limiting, Kubernetes CrashLoopBackOff

🟣 Expert (Tình huống 21–24)

Tình huống đòi hỏi tư duy phân tích sâu:

• #21 Misleading Logs — log trỏ nhầm hướng, nguyên nhân thật ở chỗ khác
• #22 Complete Server Recovery — khôi phục server từ nhiều lỗi đồng thời
• #23 Supply Chain Attack — phát hiện gói phần mềm bị đầu độc
• #24 Full Stack Debugging — tìm và xử lý 3 lỗi ẩn cùng lúc

Hướng Dẫn Thực Hành — Ví Dụ Cụ Thể

Tình huống #13: Brute Force Attack (Advanced)

Mô tả: Tài khoản admin bị khóa sau 50 lần đăng nhập sai từ một TOR exit node. Quản trị viên hợp lệ không thể đăng nhập. fail2ban đã cài nhưng chưa chạy.

Log xuất hiện:

[16:00:00] ERR  Failed login: admin from 203.0.113.42 (attempt 1/50)
[16:00:30] ERR  Failed login: admin from 203.0.113.42 (attempt 50/50)
[16:00:31] WARN Account "admin" LOCKED — max failed attempts exceeded
[16:01:05] INFO Attacker source: 203.0.113.42 — identified as TOR exit node
[16:01:10] WARN fail2ban is installed but NOT running

Các bước xử lý:

1. Chặn IP tấn công — sửa iptables -A INPUT -s 0.0.0.0 -j DROP thành 203.0.113.42
2. Mở khóa tài khoản — bỏ comment lệnh MySQL: UPDATE users SET locked=0 WHERE username='admin'
3. Bật fail2ban — đổi systemctl stop fail2ban thành systemctl start fail2ban và bật service trong panel

Tình huống #9: SSL Certificate Expired (Intermediate)

Mô tả: Người dùng thấy NET::ERR_CERT_DATE_INVALID. Cert Let’s Encrypt hết hạn, cert mới đã có sẵn nhưng Nginx vẫn trỏ đường dẫn cũ.

Các bước xử lý:

1. Mở nginx-ssl.conf trong Config Editor
2. Đổi ssl_certificate /etc/ssl/old/cert.pem → /etc/ssl/new/fullchain.pem
3. Đổi ssl_certificate_key /etc/ssl/old/privkey.pem → /etc/ssl/new/privkey.pem
4. Nhấn Apply Fix để kiểm tra kết quả

Tại Sao Phù Hợp Với CHFI Và CySA+?

EC-Council CHFI (Computer Hacking Forensic Investigator)

Bộ lab bao gồm các kỹ năng cốt lõi của kỳ thi CHFI:

• ✅ Log analysis và correlation
• ✅ Incident response và recovery
• ✅ Malware investigation (Log4Shell CVE)
• ✅ Account forensics và lockout analysis
• ✅ Supply chain attack detection
• ✅ Evidence preservation qua cron, config files

CompTIA CySA+ (Cybersecurity Analyst)

Bộ lab bao gồm các domain quan trọng của kỳ thi CySA+:

• ✅ Threat detection và log analysis
• ✅ Vulnerability management (CVE patching)
• ✅ Security configuration review
• ✅ Firewall và network hardening
• ✅ Identity & access management
• ✅ Container và cloud security (Docker, Kubernetes)

Ưu Điểm Nổi Bật

• 🌐 Chạy 100% trên trình duyệt — không cần máy ảo, không cần cài đặt
• 🎯 Sát với kỳ thi thực tế — các tình huống được thiết kế theo domain của CHFI và CySA+
• 📖 Tự học tại nhà — phù hợp ôn thi mọi lúc, mọi nơi
• 💬 Giải thích sau mỗi tình huống — hiểu rõ lý do chứ không chỉ nhớ đáp án
• 🔢 24 tình huống đa dạng — từ lỗi cơ bản đến tấn công phức tạp

Đăng Ký Học CHFI Và CySA+ Tại Việt Nam

Nếu bạn đang chuẩn bị cho kỳ thi CHFI hoặc CySA+ và muốn được hướng dẫn bài bản bởi các chuyên gia có chứng chỉ quốc tế, hãy tham khảo:

👉 Lịch Khai Giảng Các Khóa Học Bảo Mật Thông Tin Trực Tuyến — CEH Vietnam

Các khóa học trực tuyến, linh hoạt thời gian, phù hợp cho cả người đi làm và sinh viên đang chuẩn bị bước vào lĩnh vực an toàn thông tin.

Bài viết giới thiệu bộ lab thực hành IT-Master — Fix the System. Phù hợp cho học viên đang chuẩn bị thi chứng chỉ CHFI (EC-Council) và CySA+ (CompTIA).

Author @VINH NTT