Cần giúp đỡ điều tra xâm nhập

Thảo luận trong 'Audit/Pentest Security' bắt đầu bởi DNK, 07/06/18, 11:06 AM.

  1. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Dear All,

    Hiện mình phát hiện trên Terminal server của mình (Windows 2012 R2) bị xâm nhập và cài phần mềm đào tiền ảo MinerGate. Theo mình tìm hiểu sơ qua thì do tài khoản admin local bị brute force password nên bị xâm nhập. Nhưng vấn đề là mình không biết được hacker này đã xâm nhập qua đường nào. Trên Terminal server còn show session RDP của user Admin nên mình biết hacker đã remote vô bằng user admin và install MinerGate. Tuy nhiên, mình xem trong event log thì không có log install Minergate và log RDP vào khoảng thời gian này.

    Mọi người có thể hướng dẫn mình cách thức thu thập log để xác định một số thông tin: địa chỉ IP của hacker...được không?

    Mình không có kiến thức về hack nên mong mọi người giúp đỡ.

    Xin cám ơn mọi người.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Bich Lien Pham thích bài này.
  2. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 260
    Đã được thích: 196
    Điểm thành tích:
    43
    Để kiểm tra log bạn vào Event Viewer để xem log Security về các phiên đăng nhập/xác thực người dùng (có User login, IP attacker), log System để xem cài đặt
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Chào Sugi_B3o,

    Cám ơn bạn đã trả lời. Mình đã vào Event Viewer để check nhưng dữ liệu Security/System log trong khoảng thời gian bị xâm nhập không có, có thể đã bị xóa mất. Bạn còn cách nào khác để xác định những thông tin nào không?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 260
    Đã được thích: 196
    Điểm thành tích:
    43
    Bạn vào đường dẫn C:\Windows\System32\winevt\Logs khi log ghi hết tmp sẽ lưu xuống tại đường dẫn này, bạn kiểm tra thử
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Hi Sugi
    Thật không may là log trong khoảng thời gian này cũng không có.:(
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Có cách nào kiểm tra xem attacker có cài backdoor/trojan gì trên server mình không nhỉ?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 260
    Đã được thích: 196
    Điểm thành tích:
    43
    Bạn cài thử Process Explorer (giám sát tiến trình) và tcpview (giám sát port, kết nối ra bên ngoài) để giám sát tổng thể
     
    Chỉnh sửa cuối: 08/06/18, 08:06 AM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 218
    Đã được thích: 116
    Điểm thành tích:
    43
    Đào tiền ảo bây giờ hay SMB lắm. Bạn kiểm tra server bạn có bị lỗ hổng này k?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
  9. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Mình sẽ cài thử tcpview và process explorer xem thử.
    Nếu là SMB thì cụ thể là version mấy vậy HustRemw? v1 or v2/v3? Đúng thật bữa giờ ngoài một số port cho ứng dụng trên server, mình có mở thêm SMB. Tuy nhiên sau khi phát hiện ra xâm nhập, mình đã block port SMB, đồng thời Disable SMBv1 trên Server. Tuy nhiên, một điều hơi khó là File server của mình nếu block SMB thì vô tác dụng mất tiêu.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 218
    Đã được thích: 116
    Điểm thành tích:
    43
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  11. DNK

    DNK Member

    Tham gia: 13/04/18, 10:04 AM
    Bài viết: 8
    Đã được thích: 1
    Điểm thành tích:
    1
    Nghe tới bản vá mình lại sợ.:). Tất cả các server, PC trong công ty mình điều cập nhật đầy đủ và thường xuyên các bản vá. Chỉ duy nhất server này là sợ, vì nó là server chạy ứng dụng. Lúc trước cũng update đầy đủ cho nó nhưng các bản vá security udpate gây chậm ứng dụng kinh khủng, người dùng không truy cập được. Nó đã dính thì có remove update cũng ko giải quyết được, chỉ có cách cài lại Server. Nhiều lúc mấy bản update của Microsoft gây đau đầu dễ sợ.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 218
    Đã được thích: 116
    Điểm thành tích:
    43
    :D nên cân nhắc thôi bạn. chẳng hạn lỗ hổng nào nghiêm trọng như SMB thì update. Chứ không virus đào tiền ảo nó vào còn làm full cả CPU ý chứ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan