Server liên tục bị dò pass

duckquang

New Member
30/07/2018
1
2 bài viết
Server liên tục bị dò pass
Chào cả nhà!
Mình là thành viên mới tham gia diễn đàn.
Hiện nay, mình có 1 Server, kiểm tra log thì thấy có 2 vấn đề
1. Account Administrator liên tục bị dò pass (Login báo sai pass) do mình đã lock tài khoản Administrator và thay bằng 1 tài khoản Admin khác.
2. SQL liên tục bị dò pass tài khoản "sa" từ 1 client không rõ ràng (Chỉ có địa chỉ IP và có rất nhiều IP khác nhau, mình nghĩ đây chỉ là IP ảo của hacker).
Mình có gửi kèm hình ảnh của các log
Rất mong anh em cho giải pháp để xử lý dứt điểm. Mình không rành lắm về Server, cũng chỉ biết quản trị tạm tạm thôi.
Xin chân thành cám ơn anh em.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: meowth_white
Theo mình thì khả năng cao là do 1 service nào đó đang chạy có access đến database của bạn để truy vấn, nhưng vì bạn đã lock user admin cũ nên service vẫn try reconnect. Đơn giản vì thời gian giữa các lần request giãn cách cũng tương đối, vài giây 1 lần chứ không phải dạng bruteforce tự nhiên.
Hoặc bạn có thể dùng các service để tự động ban ip nếu số lần request quá lớn chẳng hạn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hi bạn
Dấu hiệu bị brute force mật khẩu đã khá rõ ràng
Đầu tiên, bạn nên đổi các mật khẩu. Sau đó đặt các chính sách an ninh cho việc login (sai bao nhiêu lần thì khóa, thời gian khóa,...)
Sau đó bạn để ý xem Firewall trên windows đã bật chưa, để ngăn chặn: tắt các port không sử dụng, chỉ bật các port cần thiết. Nếu database dùng xác thực trên windows thì để, còn nếu không thì tắt luôn.
Nhớ là cần theo dõi thường xuyên xem tình hình thế nào để còn xử lý tiếp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hi bạn
Dấu hiệu bị brute force mật khẩu đã khá rõ ràng
Đầu tiên, bạn nên đổi các mật khẩu. Sau đó đặt các chính sách an ninh cho việc login (sai bao nhiêu lần thì khóa, thời gian khóa,...)
Sau đó bạn để ý xem Firewall trên windows đã bật chưa, để ngăn chặn: tắt các port không sử dụng, chỉ bật các port cần thiết. Nếu database dùng xác thực trên windows thì để, còn nếu không thì tắt luôn.
Nhớ là cần theo dõi thường xuyên xem tình hình thế nào để còn xử lý tiếp
Em cũng nghĩ thế. Pass thì đã đổi hết rồi. Tình trạng này mới xảy ra. Khi log vào kiểm tra thì phát hiện thêm là Task Manager bị disable luôn. Đã thử dùng tool của kas, cài cả bkav endpoint vào nhưng vẫn không quét được gì cả. Hiện tượng bây giờ là máy chạy khá chậm. Ko bật được Task Manager nên ko biết có bị full RAM hay CPU ko.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Việc server bị dò password
Em cũng nghĩ thế. Pass thì đã đổi hết rồi. Tình trạng này mới xảy ra. Khi log vào kiểm tra thì phát hiện thêm là Task Manager bị disable luôn. Đã thử dùng tool của kas, cài cả bkav endpoint vào nhưng vẫn không quét được gì cả. Hiện tượng bây giờ là máy chạy khá chậm. Ko bật được Task Manager nên ko biết có bị full RAM hay CPU ko.
Trường hợp này bạn nên mua 1 bản anti virus quét sạch virus cho máy sau đó kiểm tra task manager đã khôi phục được chưa. Để chống brute force mật khẩu bạn đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác. Tương tự với port truy xuất dữ liệu SQL server.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn đã sửa được chưa? Hiện tại mình cũng đang bị như thế? toàn bị treo Server luôn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đổi pass. Đổi port và Tắt luôn remote desktop hoặc chỉ cho phép một số IP
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Việc server bị dò password

Trường hợp này bạn nên mua 1 bản anti virus quét sạch virus cho máy sau đó kiểm tra task manager đã khôi phục được chưa. Để chống brute force mật khẩu bạn đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác. Tương tự với port truy xuất dữ liệu SQL server.
đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác ntn vậy a. Hướng dẫn e chi tiết hơn đc k ạ, e n mới tìm hiểu nên chưa rõ lắm
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Có khả năng bên ngoài dò, cũng có thể máy trong mạng LAN đang dò
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
dò pass server
Bên trên