Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	22/02/2013 14:48:39 (+0700) \| #1 \| 273561

omega88
Member

Joined: 12/12/2007 12:42:31
Messages: 20
Offline

Chào mọi người
Mình có 1 máy chủ chạy windows web server 2008 R2
Mình thường xuyên remote desktop vào server, trưa nay mình thấy server chậm hơn bình thường
Nên mình kiểm tra thì được thấy như hình dưới

Máy chủ bị cài phần mềm Metasploit vào ngày 19/2, còn cái Firefox mình cài cách đây hơn 1 tháng rồi, nhưng thấy trên hình thì lại là ngày 18/2, không hiểu vì sao

Máy mình chỉ có 1 user là Administrator, tự nhiên xuất hiện thêm 1 user xtr, và trên Desktop của nó có cái bộ setup kia

Server của mình chạy 1 blog PHP, và cài các phần mềm như hình trên
Hiện nay blog vẫn chạy bình thường
Nhận định của mình là server đã bị hacker đột nhập, nhưng vì không muốn đánh động hacker và muốn blog bị gián đoạn truy cập nên mình chưa làm gì cả, lên đây xin ý kiến mọi người

Bây giờ mình phải làm sao, liệu có tìm ra nguyên nhân bị hack không nhỉ ?
Server mình thiết lập Install update automatically

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	23/02/2013 14:57:13 (+0700) \| #2 \| 273599

vnsec_net
Member

Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline

Trước tiên mình nghĩ bạn nên thay đổi toàn bộ Mật khẩu của các tài khoản trên máy. Tiếp theo là xoá cái tài khoản lạ đó.

Nguyên nhân bị hack chắc là lộ mật khẩu do dính keylog trên máy tính bạn thường đăng nhập Remote Desktop hoặc bạn đặt mật khẩu quá yếu làm cho họ đoán ra.

P/S: Đừng quên remove những cái không cần thiết trên máy chủ, kiểm tra lại source code của blog PHP và kiểm tra các cổng đang mở... Có vẻ như nhiều việc phải làm đấy.

Chúc bạn sớm khắc phục.

--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 09:27:04 (+0700) \| #3 \| 273621

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

Bạn nên xem còn ai khác ngoài bạn biết về tài khoản không? Hãy thay đổi toàn bộ pass. Cập nhật lại. rà soát lại sever xem có keylogger không? kiểm tra các web đang chạy trên sever xem có shell không. Mà bạn đã xây dựng ISA cho sever chưa thế?

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 09:29:35 (+0700) \| #4 \| 273622

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 10:17:04 (+0700) \| #5 \| 273626

vnsec_net
Member

Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline

Trong trường hợp này không hiểu bạn crazykid triển khai ISA có tác dụng gì nhỉ? Xin được chỉ rõ smilie

--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 10:29:08 (+0700) \| #6 \| 273627

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

Bởi vì loại bỏ các trường hợp tấn công từ bên trong thì ta nên cấu hình lại toàn bộ cái sever trên để chống các cuộc tấn công từ bên ngoài. Có thể tấn công chiếm quyền sever và cài những thứ này vô sever thông qua tấn công cổng SQli, thông qua shell... Hay tấn công trực tiếp. ISA firewall có thể giúp bạn ấy phần nào trong trường hợp bị tấn công từ bên ngoài. Đôi khi là cả bên trong

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 10:30:43 (+0700) \| #7 \| 273628

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

ISA thường dùng trong mạng nội bộ hơn. Nhưng cũng có thể áp dụng cho sever kiểu này ^_^ .Ngoài ra có thể dùng các firewall khác để tăng bảo mật cho sever

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 10:43:32 (+0700) \| #8 \| 273630

omega88
Member

Joined: 12/12/2007 12:42:31
Messages: 20
Offline

Chào mọi người, cám ơn 2 bạn đã trả lời, mình đã xử lý như sau
- đổi mật khẩu administrator của mình
- đổi mật khẩu user xtr kia và remote desktop bằng user xtr để xem thử, thấy đang chạy cái phần mềm Metasploit, mình tắt nó đi, sau đó uninstall Metasploit
- mình remote vào user administrator của mình lại và xoá cái user xtr đi
- mình tiếp tục uninstall các phần mềm không cần thiết
- sau đó cài zonealarm free firewall lên, cài xong mất kết nối remote desktop lun, kết nối lại vẫn không được
- mình đoán do zonealarm nó chặn remote desktop nên làm cái support ticket, đưa pass administrator nhờ data center nó remove dùm cái zonalarm ra, sau đó mình remote desktop lại thì vào được rồi
Bây giờ mình có 2 câu hỏi
- các bước mình làm ở trên như vậy đúng sai ra sao, cần phải bổ sung thêm bước nào nữa không ?
- Mình chỉ có thể remote desktop lên server nên làm sao để cài đặt phần mềm tường lửa ? vì vừa cài xong nó block luôn cái remote desktop

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	24/02/2013 20:35:37 (+0700) \| #9 \| 273643

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

Muốn remote đầu tiên bạn cần mở port đó trên firewall. Bảo mật cho port đó. Chỉ cho remote từ một IP cố định. Và mỗi lần remote bạn cần dùng IP cố định đó. Bạn có thể tìm được nhiều gợi ý hơn tại thảo luận HVA bảo mật như thế nào. Link:
/hvaonline/posts/list/0/43059.html

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	25/02/2013 20:31:39 (+0700) \| #10 \| 273666

cuongps
Member

Joined: 25/09/2010 05:30:23
Messages: 9
Offline

.ISA mà ko thiết lập các rules cho tốt thì cũng như có ông bảo vệ nhưng dễ dãi, cái cần ngăn thì ko ngăn, cái cần cho qua lại ngăn lại, hiiii!

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	25/02/2013 20:35:45 (+0700) \| #11 \| 273667

cuongps
Member

Joined: 25/09/2010 05:30:23
Messages: 9
Offline

.theo tôi nghĩ bạn cài cái FW kia nó chạy trên Server của bạn, bạn cũng có thể tạo 1 cái FW trong mạng của bạn như ISA hay các FW khác tuý bạn, còn thường khi làm FW là nó deny hết các port hay các gói tin qua nó...Các trên cũng hay đó!

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	25/02/2013 20:49:50 (+0700) \| #12 \| 273671

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

đúng như cuongps nói. Có điều ở đây bạn ấy hay remote nên cần mở một port trên FW cho tiện. Và đương nhiên không ai có thể truy cập port đó ngoài bạn ấy. Cái này giống giống với cách làm của HVA ^_^ Nói tóm lại sever của bạn cần tut lại rất nhiều đó ^_^

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	26/02/2013 08:15:24 (+0700) \| #13 \| 273684

vnsec_net
Member

Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline

Mình không nghĩ giải pháp dùng FW cản được trong trường hợp này. Trừ khi bạn xác định đã mất mật khẩu và bạn dùng FW để câu hình chỉ cho 1 hay vài IP xác định đăng nhập vào.

Quay trở lại vấn đề chính, vấn đề của chủ thread là "nghi ngờ hacker đột nhập vào" và nếu bạn không cài Metasploit và tạo tài khoản thì chắc chắn đã bị hacker đột nhập.

Trong trường hợp này theo mình có 4 đường để hacker đi vào:

1. Máy tính đăng nhập vào máy chủ bị dính Keylog.
2. Hacker tấn công bằng lỗi 0-day trực tiếp exploit vào và tự động thêm tài khoản có quyền admin (Win của bạn khả năng này không cao).
3. Bạn chia sẽ mật khẩu cho người khác.
4. Đặt mật khẩu quá yếu làm người khác dễ đoán.
5. Mấy anh Data Center đút đĩa vào và thêm tài khoản.

Thử hỏi trong 5 loại kia khi Tường lửa của bạn dựng lên thì nó giải quyết được cái nào??? Cơ may chỉ chặn được Bruteforce mà thôi. Mặt khác Máy chủ của bạn với hệ điều hành hiện tại thì tại sao lại phải cài ISA lên làm gì trong khi trong nó đã được tích hợp khá mạnh và chi tiết rồi???

Điều cần làm là hãy tự xem lại bạn dùng máy nào đăng nhập vào??? Hãy kiểm tra virus trên máy tính đó. Nếu bạn không làm được hãy pm riêng cho tôi.

--

--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	26/02/2013 09:25:29 (+0700) \| #14 \| 273686

omega88
Member

Joined: 12/12/2007 12:42:31
Messages: 20
Offline

vnsec_net wrote:

Mình không nghĩ giải pháp dùng FW cản được trong trường hợp này. Trừ khi bạn xác định đã mất mật khẩu và bạn dùng FW để câu hình chỉ cho 1 hay vài IP xác định đăng nhập vào.

Quay trở lại vấn đề chính, vấn đề của chủ thread là "nghi ngờ hacker đột nhập vào" và nếu bạn không cài Metasploit và tạo tài khoản thì chắc chắn đã bị hacker đột nhập.

Trong trường hợp này theo mình có 4 đường để hacker đi vào:

1. Máy tính đăng nhập vào máy chủ bị dính Keylog.
2. Hacker tấn công bằng lỗi 0-day trực tiếp exploit vào và tự động thêm tài khoản có quyền admin (Win của bạn khả năng này không cao).
3. Bạn chia sẽ mật khẩu cho người khác.
4. Đặt mật khẩu quá yếu làm người khác dễ đoán.
5. Mấy anh Data Center đút đĩa vào và thêm tài khoản.

Thử hỏi trong 5 loại kia khi Tường lửa của bạn dựng lên thì nó giải quyết được cái nào??? Cơ may chỉ chặn được Bruteforce mà thôi. Mặt khác Máy chủ của bạn với hệ điều hành hiện tại thì tại sao lại phải cài ISA lên làm gì trong khi trong nó đã được tích hợp khá mạnh và chi tiết rồi???

Điều cần làm là hãy tự xem lại bạn dùng máy nào đăng nhập vào??? Hãy kiểm tra virus trên máy tính đó. Nếu bạn không làm được hãy pm riêng cho tôi.

--

Cám ơn vnsec_net nhiều lắm smilie

về 5 trường hợp vnsec_net trình bày
1. Khi remote desktop thì mình dùng file server.rdp đã lưu sẵn password chứ không nhập password mỗi lần remote
Từ khi mua server này đến bây giờ, mình chỉ nhập password 2 lần
Lần đầu tiên remote vào server là lúc mới mua server, lúc này password là random mặc định của Data center nó gửi, mình remove vào để đổi pass
Lần thứ 2 là mình remote vào thì nhập password mới đổi, sau đó save ra file server.rdp luôn, các lần sau remote thì mình chỉ cần click đúp chuột vào file server.rdp
Máy mình cài phần mềm Avira Internet Security 2012 có bản quyền, bật tự động update, việc nhiễm keylog thì khó xảy ra, vả lại chỉ mình cái server bị hack thôi, mail, paypal, ...... của mình vẫn bình thường.
Việc có thể bị mất file server.rdp thì chưa biết, vì mình chỉ để nó trên lap cá nhân thôi.
2. Mình sợ nhất cái này vì ngoài khả năng, "không thể phòng ngừa cái gì mình không biết", chỉ biết bật Auto Update của Windows
3. Mình không chia sẻ mật khẩu cho ai cả
4. Mật khẩu của mình dài 11 kí tự, có chữ hoa, chữ thường và số, theo mình là an toàn
5. Server này mình mua của Leaseweb Hà Lan, chỗ này uy tín, chắc không thể có trường hợp này

Mình có thêm 1 nguyên nhân nữa là có thể bị hack qua blog php của mình, mình đang thuê 1 người bạn rà soát lại blog php.

Mình đang nghiên cứu link của vnsec_net đưa, rất hay smilie

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	28/02/2013 09:07:18 (+0700) \| #15 \| 273739

A.T
Member

Joined: 11/06/2011 05:45:42
Messages: 76
Offline

sau khi làm những điều như trên bạn thử vào cmd
1.>netstat -ano |find /i "listening"
2.>netstat -ano |find /i "established"
bạn phải biết chắc chắn từng port trên máy bạn dùng làm gì là ok rồi đó ,nên mở những port cho các services cần dùng còn lại thì disabled nó đi,trên server nên cái 1 antivirus nào đó.update thường xuyên smilie

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	05/03/2013 08:20:16 (+0700) \| #16 \| 273851

quybeo83
Member

Joined: 15/07/2010 21:12:11
Messages: 35
Offline

chưa thấy ai giải thích tại sao hacker lại cài metaploist lên máy này nhỉ. phải chăng là dùng máy này để tấn công leo thang các máy khác cùng mạng hoặc dùng máy này tiếp tục tấn công máy khác nhỉ ???
Khắc phục thảm hoạ là đương nhiên nhưng tìm ra dấu vết lại là niềm yêu thích và mơ ước của những ai hiểu về bảo mật smilie

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	06/03/2013 18:14:54 (+0700) \| #17 \| 273912

crazykid
Member

Joined: 23/02/2013 08:41:52
Messages: 33
Location: toiyeucntt
Offline

Để lại metas thì có thể PC này đã nằm trong một Botnet ^_^

========== By Crazykid ==========

[Question] Máy chủ Window Web Server 2008 R2 của mình bị cài Metasploit......	10/05/2013 13:17:49 (+0700) \| #18 \| 275631

kakavn_85
Member

Joined: 16/06/2009 15:21:34
Messages: 19
Offline

Theo như phán đoán của mình và đọc bài phân tích của chủ thớt
+ Blog PHP bị hack qua đó hacker phán đoán lấy được password của tài khoản administrator.(Vô tình chủ thớt thiết lập password của tài khoản Web chính là password của server)
+ Cài đặt metasploit để tấn công các server cùng dải mạng

Người có niềm tin có thể đi qua bất kỳ phong ba bão táp nào.

Go to:

Users currently in here
1 Anonymous