Máy chủ bị tấn công mong các bác giúp đỡ

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Máy chủ bị tấn công mong các bác giúp đỡ

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 09:40:27 (+0700) \| #1 \| 247080

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ

Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại

Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver

thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 09:47:15 (+0700) \| #2 \| 247081

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

thuypv wrote:

Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ

Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại

Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver

thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên

---> xong chuyện.

Nói thêm: không bao giờ để lộ các cổng dịch vụ ra ngoài Internet ngoại trừ lý do hữu lý nào đó.

PS: chủ đề này tại sao nằm trong mục "thâm nhập"?

What bringing us together is stronger than what pulling us apart.

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 09:55:15 (+0700) \| #3 \| 247083

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Anh commale ơi nó uýnh em như thía là có chủ đích rùi, vì server em mới mua và cấu hình được 10 ngày, website cũng mới hoạt động tầm đó, thì chắc đây là các đối thủ nó phá rùi

Bằng cách nào để không lộ các cổng dịch vụ ra ngoài internet hả anh, nó dùng các tool nó vẫn dò được mà, em đóng các cổng như thế thì đã chắc chưa hả anh, liệu nó có tấn công trực diện vào cổng 80 và đi qua cổng này được ko, và liệu có vượt qua được tường lửa ko ạ

Kinh nghiệm quản lý máy chủ và bảo mật còn ít mong các anh chỉ giáo

à ngoài cổng 80 em còn cái cổng remote decktop

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:07:57 (+0700) \| #4 \| 247088

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

thuypv wrote:

Em chào các bác, có việc cần nhờ các bác giúp đỡ chút ạ

Tình hình là em quản lý 1 con server windows 2003 có mấy ngày vừa rồi em ko vào theo dõi, hôm nay vào xem cái log Event Viewer phát hiện ra server của em liên tục bị tấn công từ xa vào tài khoản sa của sqlserver 2003, có 3 ngày mà nó cố tình log vào đến vài ngàn lần, may mày mấy bữa trước em cảnh giác đã disable tài khoản sa đi rồi, em quên mất ko đóng cổng sqlserver lại

Mấy cái nơi chuyên request đến là các ip sau: 27.98.197.136; 111.68.10.26; 184.106.244.29; 208.43.153.125; 66.85.136.37 và tầm hơn chục ip khác, chúng đều cố tình log vào tài khoản sa của sqlserver

thía là chúng nó đã bắt đầu uýnh em rùi, các bác có cách nào để bảo vệ an toàn ko chỉ e với, hiện tại em chỉ giám để mỗi cổng 80 hoạt động thôi, còn lại dùng firewall chặn hết các cổng khác, windows thì update thường xuyên

-------->Đây là version nào vậy bác ?
Theo như A.Conmale nói thì bác nên đóng mấy cái cửa sổ lại, chỉ chừa cửa chính thôi.Như vậy cũng giảm được một nữa rủi ro rồi !!!!!!!!!!!!!!

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:13:40 (+0700) \| #5 \| 247091

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

thuypv wrote:

Anh commale ơi nó uýnh em như thía là có chủ đích rùi, vì server em mới mua và cấu hình được 10 ngày, website cũng mới hoạt động tầm đó, thì chắc đây là các đối thủ nó phá rùi

Bằng cách nào để không lộ các cổng dịch vụ ra ngoài internet hả anh, nó dùng các tool nó vẫn dò được mà, em đóng các cổng như thế thì đã chắc chưa hả anh, liệu nó có tấn công trực diện vào cổng 80 và đi qua cổng này được ko, và liệu có vượt qua được tường lửa ko ạ

Kinh nghiệm quản lý máy chủ và bảo mật còn ít mong các anh chỉ giáo

à ngoài cổng 80 em còn cái cổng remote decktop

Mỗi ngày trên mạng có hàng chục ngàn, hàng trăm ngàn các hệ thống tự động scan. Host nào mà lộ ra các cổng béo bở (như cổng dịch vụ của mssql chẳng hạn) thì sẽ bị thiên hạ nhào vô khai thác liền chớ chẳng có chủ đích nào hết.

Bồ đã nói là bồ dùng firewall cản hết các cổng ngoại trừ cổng 80 mà còn hỏi đoạn màu cam ở trên là sao? Cổng đã bị FW block hết thì dò bằng cái gì?

Cẩn thận với cái cổng remote desktop. Coi chừng nó làm thịt luôn đó.

What bringing us together is stronger than what pulling us apart.

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:24:57 (+0700) \| #6 \| 247093

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

@phuongnvt à mình viết nhầm sqlserver 2005

anh conmale ơi thế bi giờ làm cách gì để chắc ăn cổng remote decktop đây ạ, vì cổng đó chắc là ko đóng được ạ

Hôm trước có 1 ông anh ông ấy cấu hình server của ông ấy cái cổng remote decktop khi remote vào thì phải nhập ip như thế này: 123.213.90.43:6575 làm như thế liệu có chắc ăn hơi là em để mỗi ip không ạ

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:37:28 (+0700) \| #7 \| 247094

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

thuypv wrote:

@phuongnvt à mình viết nhầm sqlserver 2005

anh conmale ơi thế bi giờ làm cách gì để chắc ăn cổng remote decktop đây ạ, vì cổng đó chắc là ko đóng được ạ

Hôm trước có 1 ông anh ông ấy cấu hình server của ông ấy cái cổng remote decktop khi remote vào thì phải nhập ip như thế này: 123.213.90.43:6575 làm như thế liệu có chắc ăn hơi là em để mỗi ip không ạ

Dùng FW chặn cổng remote desktop đó lại. Sau đó cài SSH (Secure Shell) lên máy chủ đó rồi tạo tunnel từ máy con đến máy chủ đó xuyên qua SSH để truy cập remote desktop.

PS: đừng hỏi làm cụ thể làm sao mà nên đọc và thử các từ khoá có trong câu trả lời để tự tìm hiểu cho quen.

What bringing us together is stronger than what pulling us apart.

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:38:36 (+0700) \| #8 \| 247095

phuongnvt
Member

Joined: 09/02/2011 03:35:39
Messages: 332
Offline

thuypv wrote:

@phuongnvt à mình viết nhầm sqlserver 2005

anh conmale ơi thế bi giờ làm cách gì để chắc ăn cổng remote decktop đây ạ, vì cổng đó chắc là ko đóng được ạ

Hôm trước có 1 ông anh ông ấy cấu hình server của ông ấy cái cổng remote decktop khi remote vào thì phải nhập ip như thế này: 123.213.90.43:6575 làm như thế liệu có chắc ăn hơi là em để mỗi ip không ạ

Chẳng qua ổng làm như thế vì ổng đã thay đổi Port 3389 thành port 6575.Nhưng dù bạn có đổi port nào đi chăng nữa thì bạn cũng phải Nat port cho remote desktop hoạt động.Vì thế vẫn có thể scan ra cái port đó.
Mình nghĩ bạn cũng có thể dùng Remote Desktop kết hợp với SSL hoặc VNC + SSL

bạn tham khảo link sau nha:
http://technet.microsoft.com/en-us/magazine/ff458357.aspx

còn cái vụ án A.Conmale nói bạn có thể tìm hiểu ở đây:
http://theillustratednetwork.mvps.org/Ssh/RemoteDesktopSSH.html

@ đây chỉ là ngu kiến của mình, có gì sai anh em bỏ qua cho em nha!!!!!!!!!!!!!

Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 10:44:39 (+0700) \| #9 \| 247096

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Vâng em cảm ơn anh conmale và phuongnvt em sẽ tiến hành luôn, không thì đi tong mất

Hi tại em lười quá, toàn hỏi cách làm mà hem vận động tìm hiểu, cảm ơn anh nha

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 14:43:39 (+0700) \| #10 \| 247124

cuti123
Member

Joined: 07/06/2011 23:59:01
Messages: 10
Offline

- Để đóng cổng quản trị trên Windows Server 2003 có thể dùng Firewall ( tích hớpawnxx cùng windows) để chặn, khuyến nghị một số cấu hình sau:
- Về cổng quản trị SQL Sever 2005: 1433: cấu hình FW cho phép các IP nào đó truy cập thôi
Edit port --> change scope --> custom list
- Về cổng quản trị Remote deskop : nên chuyển sang port khác ( tuỳ chọn port có thể là 8080)
Sau đó cũng cần giới hạn lại scope trong FW của windows cho việc truy cập remote này.
- Đặt mật khẩu có độ dài > 13 ký tự ( chữ hoa, thường và ký tự đặc biệt)

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	14/09/2011 20:43:58 (+0700) \| #11 \| 247138

smile_sad
Member

Joined: 15/08/2006 19:15:08
Messages: 96
Offline

Nếu bạn đã bị chiếm quyền sa trên mssql thì attacker có thể làm dung hại đến các db trên server, tuy nhiên thì khả năng attacker có thể chiếm quyền điều khiển server thì hơi khó. Vì mình thấy SQL server 2005 bảo mật tốt hơn 2000 nhiều. Qua nó cũng không thể add user vào nhóm administrators và "remote desktop users" được.

Sau khi phát hiện tấn công, bạn nên thay đổi các mật khẩu truy cập hệ thống. Đồng thời, tạo các user tương ứng quản lí mỗi database chỉ định. Bạn không nên dùng user SA.

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	15/09/2011 00:19:18 (+0700) \| #12 \| 247144

thuypv
Member

Joined: 11/06/2008 12:25:57
Messages: 64
Offline

Hi cảm ơn các anh nha

Hi em vẫn chưa bị chiếm quyền sa, vì mấy bữa trước em disable tài khoản sa rồi, em dùng widows authentication khi sử dụng sqlserver trên máy chủ, còn mỗi 1 site thì em cũng đã tạo riêng 1 user sql server cho nó rồi, nếu nó tấn công vào các user kia thì phát hiện ra ngay vì event viewer nó sẽ báo lại các truy nhập ko thành công mà

Hiện mai em sẽ cho dừng website lại 1 ngày, để cài lại server và cấu hình lại từ đầu cho chắc ăn, sau đó khoá hết các cổng còn cái remote decktop thì em là giống anh conmale và phungnvt cho nó chắc như cùi bắp luôn

[Question] Máy chủ bị tấn công mong các bác giúp đỡ	15/09/2011 10:15:12 (+0700) \| #13 \| 247164

A.T
Member

Joined: 11/06/2011 05:45:42
Messages: 76
Offline

Mình tổng hợp các ý kiến của các cao thủ trên cho Bạn nhé,bất kì khi nào đó thì một server trên Mạng cũng đang bị ai đó...scan..ở đây ,ở đó, ở đâu đó smilie

1.Đóng tất cả các port không cần thiêt lại.1 -->Ok
2.Disable lại một số tài khoản.acc mặc định có đặc quyền cao nhất,tạo tài khoản khác với tên khác với phân quyền hợp lý mà dùng.--->Ok
3.sau vài ngày bị oánh thì bạn kiểm tra log,dùng các công cụ scan lại hệ thống,scan virut xem Hệ thống của Bạn đã bị tấn công leo thang chưa,chưa thì ổn.
4.Thiết lập lại chính sách firewall phù hợp cho hợp với mô hình hoạt động của cty bạn,đề cao tính an toàn,bảo mật,đưa ra được phuơng án dự trù khi hệ thống của bạn bị hạ gục.
ps : cẩn tắc vô ay náy smilie

Go to:

Users currently in here
1 Anonymous