nhờ các cao thủ giúp đỡ về việc mất pass modem

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

nhờ các cao thủ giúp đỡ về việc mất pass modem

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	20/06/2013 07:38:05 (+0700) \| #1 \| 276740

startcluster
Member

Joined: 25/02/2007 10:12:55
Messages: 8
Offline

Dear all

mình làm IT đã nhiều năm,nhưng pass modem luôn luôn bị mất,người lấy không có làm hại điều gì
ngoài NAT server puplic ra bên ngoài.

cấu trúc mạng bên em là 2 ip tĩnh ==>modem draytek ==>switch (Domain)==>user

ko hiểu vì sao mình ko NAT server pulic ra ngoài mà cứ vài ngày mình vào modem lại thấy server đã được NAT ra,mình nghi ngờ máy tính mình ngồi truy cập qua web modem bị lộ pass lên mình đã setup lại máy tính mình
thành Ubuntu 12.04,sau đó truy cập vào giao diện web modem để disibale cái NAT kia đi,nhưng được vài hôm
mình vào modem lại thấy server NAT ra ngoài (server domain 2008 cài full soft,sql.....),pass modem thì chỉ một mình có và dùng ubuntu lên mình nghĩ an toàn,thế mà vẫn bị.
các bác giúp em phòng tránh vụ này thế nào cho tốt ạ,hoặc em đã làm sai sót ở điểm gì mà vẫn bị như thế
(em nghĩ mất pass chỉ có mục đích là NAT server public chứ ko có thay đổi pass)

trân trọng cảm ơn các bác help

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	20/06/2013 09:54:00 (+0700) \| #2 \| 276741

nguyenga86
Member

Joined: 13/11/2010 00:19:05
Messages: 205
Offline

Trong LAN của bạn có nhiều user không? Theo mình nghĩ chắc là bị sniff trong mạng nội bộ, cái trò sniff pass modem này hồi trước mình cũng làm nhiều lắm smilie

, đổi pass kiểu gì cũng hiện lên hết.

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	20/06/2013 18:16:14 (+0700) \| #3 \| 276745

yeubaomat
Member

Joined: 07/06/2013 00:09:30
Messages: 11
Offline

Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập
Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.

" "
" " " "
" " "
" "
" "

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	20/06/2013 22:26:23 (+0700) \| #4 \| 276756

vnsec_net
Member

Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline

yeubaomat wrote:

Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập
Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.

Phát hiện gì ở đây? Bạn cài Snort lúc nào chưa?

--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	24/06/2013 11:09:07 (+0700) \| #5 \| 276838

startcluster
Member

Joined: 25/02/2007 10:12:55
Messages: 8
Offline

Thanks all các bác đã giúp đã,nhưng vấn đề vẫn chưa giải quyết được
user trong LAN thì rất nhiều (hơn 100 user) hiện tượng server bị NAT ra ngoài vẫn xảy ra (trong server có một số forder share) nếu NAT ra như thế bên ngoài có thể sử dụng được DATA server (điều này em muốn cấm)

rất mong các bác giúp em

trân trọng

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	24/06/2013 13:43:18 (+0700) \| #6 \| 276843

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

startcluster wrote:

Dear all

mình làm IT đã nhiều năm,nhưng pass modem luôn luôn bị mất,người lấy không có làm hại điều gì
ngoài NAT server puplic ra bên ngoài.

cấu trúc mạng bên em là 2 ip tĩnh ==>modem draytek ==>switch (Domain)==>user

ko hiểu vì sao mình ko NAT server pulic ra ngoài mà cứ vài ngày mình vào modem lại thấy server đã được NAT ra,mình nghi ngờ máy tính mình ngồi truy cập qua web modem bị lộ pass lên mình đã setup lại máy tính mình
thành Ubuntu 12.04,sau đó truy cập vào giao diện web modem để disibale cái NAT kia đi,nhưng được vài hôm
mình vào modem lại thấy server NAT ra ngoài (server domain 2008 cài full soft,sql.....),pass modem thì chỉ một mình có và dùng ubuntu lên mình nghĩ an toàn,thế mà vẫn bị.
các bác giúp em phòng tránh vụ này thế nào cho tốt ạ,hoặc em đã làm sai sót ở điểm gì mà vẫn bị như thế
(em nghĩ mất pass chỉ có mục đích là NAT server public chứ ko có thay đổi pass)

trân trọng cảm ơn các bác help

Có một Mod. nào đó đã "Ẩn" bài viết của bạn, mà tôi vừa mới cho "Hiện" ra lại. Mod. nào đó của HVA đã xử sự rất đúng khi làm như vậy. Bạn có biết mình đã làm điều gì không đúng không?

- Bạn đã sử dụng chữ mầu đỏ. tô đậm để viết bài. Điều này không cần thiết, gây phản cảm và khó chịu cho người đọc.

- Bạn viết không rõ và kỹ, dùng từ không đúng và khó hiểu. Thí dụ bạn viết: "NAT server puplic ra bên ngoài.". Lẽ ra nên viết: "đã sử dụng tiện ích NAT trong modem để public dữ liệu trong máy chủ của tôi ra ngoài mạng", hay "disable NAT', chứ không phải :disibale NAT"

Bạn cần rút kinh nghiệm cho các lần sau.

--------------------------
Về câu hỏi của bạn, tôi xin trả lời như sau:

- Khi một user đã có password vào bảng điều khiển modem-router (bản điều khiển được thưc hiện dưới dạng một miniweb) thì user đó có toàn quyền cấu hình lai modem. Họ có thể config. lại NAT để
public dữ liệu trong máy chủ i ra ngoài mạng, disable hay enable NAT.... Vì vậy vấn đề quan trọng là không thể để cho modem pass. bị lấy cắp.

- Trong trường hợp một mạng nôi bộ như mạng của bạn (mà bạn đang quản lý máy chủ) thì bạn cần tìm hiểu xem một user nào đó đã lấy pass. vào modem bằng cách nào đây?
Có một số cách lấy pass. modem (hay password khác) trong mạng LAN, nhưng theo tôi cách nhanh chóng và hiệu quả mà các hacker hay dùng nhất là dùng "Password Monitoring SoftwareS", như
SniffPass v1.11, v.1.12, v1.13 (NIRSOFT)

SniffPass v1.1x này nghe ngóng (listens) trên mạng LAN và ghi lai (capture) tất cả các password đã được dùng, các gói tin ký tự password đi qua các card mạng của mọi user trong mạng. SniffPass v1.1x sẽ cho hiện lên tức thời trên máy của hacker tất cả các password này, ghi rõ thêm đia chỉ IP local, đia chỉ IP Remote, tên user.... Trong trường hợp của bạn IP local là Private static IP của máy chủ và IP Remote là Private static IP của Draytek modem-router...

- Từ phân tích trên bạn có thể áp dụng một thủ thuật khôn khéo để loại trừ việc hacker đọc được pass. vào modem, thí dụ bạn luôn đổi password vào modem ngay trước khi bạn checkout khỏi modem-router.

- Bạn cũng có thể kiểm tra kỹ log của modem (repeat again: log file của chính modem Draytek nằm trong modem) để xem kỹ user nào đã thâm nhập vào modem và vào thời gian nào? Từ đó có biện pháp "mạng" hay "hành chính" để giải quyết.

- Bạn cũng có thể cài đăt một Advanced Antivirus hay Internet security suite tại máy chủ và config. nó để có thể quét trong toàn mạng LAN, diệt các malicious software nghi ngờ (network scan).
Vân vân...

Không cần phải cài lại HDH trên máy chủ đâu.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	25/06/2013 10:29:29 (+0700) \| #7 \| 276884

startcluster
Member

Joined: 25/02/2007 10:12:55
Messages: 8
Offline

Dear PXMMRF

Em trân trọng cảm ơn bác đã nhắc nhở,và em sẽ rút kinh nghiệm vào lần sau
qua bài viết của bác em nghĩ bác đã hiểu vấn đề của em đang gặp phải,và hiện nay em vẫn chưa xử lý được

và em vẫn tiếp tục nhờ sự support của các bác cho vấn đề này.

- về phần user em cũng trình bày luôn là có hơn 100 user (số người vào làm việc và nghỉ việc là thường xuyên)
trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả)
- user chỉ cần mở web (IE,FF,Opera...) gõ địa chỉ IP sẽ hiện lên giao diện web đăng nhập modem
- vấn đề server domain em ko ngại gì cả,em cũng không cài lại có điều hơi phiền là một số forder bắt buộc phải share full (em không muốn DATA full này bị share ra ngoài internet).
-Hiện tượng server bị NAT ra ngoài vẫn xảy ra cho tới thời điểm này,em đã sử dụng các cách ,các kiểu rồi (kinh nghiệm trên 5 năm IT tuy gà nhưng các bác chỉ vẫn bít)thế mà vẫn chưa tìm ra thủ phạm,và vấn đề thủ phạm đưa dữ liệu ra ngoài là không được phép (VD :tài liệu PM KT,Công văn.....soure code.. solution....)

Rất mong các bác thông cảm cho những lỗi nhỏ của em và giúp em xử lý được vụ này.

trân trọng cảm ơn.

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	25/06/2013 14:01:26 (+0700) \| #8 \| 276888

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

startcluster wrote:

Dear PXMMRF

Em trân trọng cảm ơn bác đã nhắc nhở,và em sẽ rút kinh nghiệm vào lần sau
qua bài viết của bác em nghĩ bác đã hiểu vấn đề của em đang gặp phải,và hiện nay em vẫn chưa xử lý được

và em vẫn tiếp tục nhờ sự support của các bác cho vấn đề này.

- về phần user em cũng trình bày luôn là có hơn 100 user (số người vào làm việc và nghỉ việc là thường xuyên)
trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả)
- user chỉ cần mở web (IE,FF,Opera...) gõ địa chỉ IP sẽ hiện lên giao diện web đăng nhập modem
- vấn đề server domain em ko ngại gì cả,em cũng không cài lại có điều hơi phiền là một số forder bắt buộc phải share full (em không muốn DATA full này bị share ra ngoài internet).
-Hiện tượng server bị NAT ra ngoài vẫn xảy ra cho tới thời điểm này,em đã sử dụng các cách ,các kiểu rồi (kinh nghiệm trên 5 năm IT tuy gà nhưng các bác chỉ vẫn bít)thế mà vẫn chưa tìm ra thủ phạm,và vấn đề thủ phạm đưa dữ liệu ra ngoài là không được phép (VD :tài liệu PM KT,Công văn.....soure code.. solution....)

Rất mong các bác thông cảm cho những lỗi nhỏ của em và giúp em xử lý được vụ này.

trân trọng cảm ơn.

OK! Tôi sẽ suy nghĩ thêm. Ban có thể diễn tả (hay tốt hơn là vẽ một toplogy) kết nối mang LAN của bạn được không? Có như thế sẽ dễ tìm ra nguyên nhân và giải pháp.

Bạn cần sử dụng tiện ích "STRICT BINDING" trong Draytek modem-router. Tiện ích này sẽ gắn chặt giữa Private IP (mà modem gán cho máy user) với MAC address (của máy user- thưc chất là MAC address của card mạng của máy user này). Tiện ích này ngoài việc xác định được ai-máy nào đang vào modem căn cứ thep Private IP, còn hạn chế người ngoài cơ quan thâm nhập vào mạng. Dĩ nhiên việc thiết lập "STRICT BINDING" cho nhiều máy trong LAN cũng mất một số thời gian lúc đầu.

Bạn cũng nên cài thêm một soft. monitoring toàn mạng LAN tại bất cứ thời điểm nào, như Look@LAN chẳng hạn.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	25/06/2013 15:39:06 (+0700) \| #9 \| 276892

dexxa
Member

Joined: 01/07/2006 20:35:01
Messages: 121
Offline

trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả)

Sao không thử kiểm tra log của DHCP hay các hệ thống khác để lấy thông tin về IP này ?

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	28/06/2013 14:30:49 (+0700) \| #10 \| 276968

nhuhoang
Elite Member

Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline

Việc tìm ra người lấy pass chỉ là phản ứng kiểu "mất bò mới lo làm chuồng", mà nếu tìm ra thì bạn cũng chỉ nhắc nhở chứ không làm gì được

Vậy thì giải pháp tốt nhất là ngăn chặn những hành động này, mình thấy có 1 số cách như sau:

1. Tắt giao thức quản trị modem qua HTTP, chỉ dùng HTTPS. Khi đó toàn bộ dữ liệu lẫn pass đều bị mã hoá nên không lộ khi bị sniff, tuy vẫn có cách để decrypt nhưng rất mất công

2. Cấu hình modem để chỉ có 1 IP nhất định được vào modem, ở đây là máy của bạn.

Vì mạng của bạn là mạng phẳng (flat) nên vẫn có thể attacker biết được IP của bạn để fake IP, tốt nhất là tạo 1 vlan quản trị riêng trên draytek, chia vlan trên swich và cấu hình chỉ cho IP trong vlan đấy được quản trị, như vậy sẽ triệt tiêu hoàn toàn cả 2 nguy cơ sniff password và fake IP

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	01/07/2013 15:26:04 (+0700) \| #11 \| 277034

startcluster
Member

Joined: 25/02/2007 10:12:55
Messages: 8
Offline

Dear

em vẫn chưa giải quyết được vấn đề
anh giúp em xử lý vụ này với ạ
em không up được hình lên diễn đàn em sẽ mô phỏng qua ser đồ mạng thế này ạ:

all user =>switch=>server domain (server secon domain) => pfsence 2.0(cấp IP user) => VNPT (FPT) cho server NAT qua mạng FPT (VNPT Và FPT đề dùng draytek 2950)

trân trọng cảm ơn anh

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	03/07/2013 23:00:01 (+0700) \| #12 \| 277132

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Coi chừng việc NAT là do uPNP thực hiện chứ không phải do ai đó login vào router thay đổi (nếu pass đặt khó, chữ hoa/thường/số và không ai biết ngoài bạn + thay đổi trong sự an toàn => khó có cơ hội thay nó đấy).
Nếu bật tính năng uPNP này trên router, một client bình thường không cần mật khẩu cũng có thể khiến cho router "tạo NAT forward" được thông qua việc gửi yêu cầu upnp đến router.
uPNP rất có ích cho mạng home khi chat skype, hay bittorrent. Nhưng với mạng văn phòng thì có thể tắt nó đi (trên router).

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	09/07/2013 09:51:29 (+0700) \| #13 \| 277309

startcluster
Member

Joined: 25/02/2007 10:12:55
Messages: 8
Offline

myquartz wrote:

Coi chừng việc NAT là do uPNP thực hiện chứ không phải do ai đó login vào router thay đổi (nếu pass đặt khó, chữ hoa/thường/số và không ai biết ngoài bạn + thay đổi trong sự an toàn => khó có cơ hội thay nó đấy).
Nếu bật tính năng uPNP này trên router, một client bình thường không cần mật khẩu cũng có thể khiến cho router "tạo NAT forward" được thông qua việc gửi yêu cầu upnp đến router.
uPNP rất có ích cho mạng home khi chat skype, hay bittorrent. Nhưng với mạng văn phòng thì có thể tắt nó đi (trên router).

Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó
em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được.
đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em....

trân trọng

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	09/07/2013 13:08:21 (+0700) \| #14 \| 277314

nguyenga86
Member

Joined: 13/11/2010 00:19:05
Messages: 205
Offline

chịu khó disable DHCP đi rồi add static IP cho toàn bộ user , xong rồi ngồi chờ xem IP của user nào đăng nhập vào modem thì túm gáy nó mà xử smilie

. set static IP cho hơn 100 user kể cũng oải nhỉ smilie

[Question] nhờ các cao thủ giúp đỡ về việc mất pass modem	12/07/2013 22:23:19 (+0700) \| #15 \| 277390

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

startcluster wrote:

Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó
em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được.
đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em....

trân trọng

Vậy là vấn đề nghiêm trọng hơn bạn nghĩ.
Giờ bạn check lai 1 số vấn đề sau:
1. router/modem của bạn đã up firmware mới nhất từ nhà sản xuất chưa? việc firmware có lỗi bảo mật tuy ít nhưng vẫn có thể có.
2. bạn kết duy nhất máy của bạn vào modem (rút tất cả cái khác ra hoặc mang laptop lên gần modem cắm). Và đổi pass. Pass khó không khó để đặt đâu.
3. Máy tính bạn sử dụng để vào web admin và đổi pass, phải chắc chắn nó là máy sạch, nếu đã dính key logger thì việc đổi ở step 2 là vô nghĩa hoàn toàn. Để chắc chắn không dính, bạn hay download 1 bản linux LiveCD, như là Ubuntu, về boot CD lên, chỉ mở mỗi Firefox ra để đổi. Đổi xong, không bao giờ login lại modem bằng mật khẩu mới (để kiểm tra có bị không) trừ khi dùng cái đĩa Ubuntu kia boot lên.
4. Để 1 một thời gian, làm step 2 và 3 vào web admin an toàn rồi để check xem config có bị thay đổi gì không.

Nếu thực hiện các việc trên mà vẫn bị. Việc làm cuối cùng là thay cái modem đó bằng một cái khác. Mình nghĩ nó có gì đó không ổn lắm ở chính nó.

PS: lời khuyên - nên tập sử dụng Ubuntu hoặc một Linux tương tự, nó an toàn và tin cậy hơn nhiều so với Windows, và có nhiều đồ chơi đối với admin. Cắm một máy linux vào mạng, cài 1 tool có tên là tcpdump, rồi gõ lệnh: tcpdump -i <tên LAN interface ví dụ eth0> -nn arp
Nhìn các gói ARP bắn ra, sẽ biết có ai đó trong mạng đang tấn công ARP Spoofing hay không, đây là cách tấn công "ăn trộm" mật khẩu phổ biến khi ở trong cùng mạng LAN.

Go to:

Users currently in here
1 Anonymous