Cần giúp đỡ điều tra xâm nhập

[DNK]

Dear All,

Hiện mình phát hiện trên Terminal server của mình (Windows 2012 R2) bị xâm nhập và cài phần mềm đào tiền ảo MinerGate. Theo mình tìm hiểu sơ qua thì do tài khoản admin local bị brute force password nên bị xâm nhập. Nhưng vấn đề là mình không biết được hacker này đã xâm nhập qua đường nào. Trên Terminal server còn show session RDP của user Admin nên mình biết hacker đã remote vô bằng user admin và install MinerGate. Tuy nhiên, mình xem trong event log thì không có log install Minergate và log RDP vào khoảng thời gian này.

Mọi người có thể hướng dẫn mình cách thức thu thập log để xác định một số thông tin: địa chỉ IP của hacker...được không?

Mình không có kiến thức về hack nên mong mọi người giúp đỡ.

Xin cám ơn mọi người.

 

Để kiểm tra log bạn vào Event Viewer để xem log Security về các phiên đăng nhập/xác thực người dùng (có User login, IP attacker), log System để xem cài đặt

 

Chào Sugi_B3o,

Cám ơn bạn đã trả lời. Mình đã vào Event Viewer để check nhưng dữ liệu Security/System log trong khoảng thời gian bị xâm nhập không có, có thể đã bị xóa mất. Bạn còn cách nào khác để xác định những thông tin nào không?

 

Bạn vào đường dẫn C:\Windows\System32\winevt\Logs khi log ghi hết tmp sẽ lưu xuống tại đường dẫn này, bạn kiểm tra thử

 

Hi Sugi
Thật không may là log trong khoảng thời gian này cũng không có.

 

Có cách nào kiểm tra xem attacker có cài backdoor/trojan gì trên server mình không nhỉ?

 

Bạn cài thử Process Explorer (giám sát tiến trình) và tcpview (giám sát port, kết nối ra bên ngoài) để giám sát tổng thể

 

Đào tiền ảo bây giờ hay SMB lắm. Bạn kiểm tra server bạn có bị lỗ hổng này k?

 

Mình sẽ cài thử tcpview và process explorer xem thử.
Nếu là SMB thì cụ thể là version mấy vậy HustRemw? v1 or v2/v3? Đúng thật bữa giờ ngoài một số port cho ứng dụng trên server, mình có mở thêm SMB. Tuy nhiên sau khi phát hiện ra xâm nhập, mình đã block port SMB, đồng thời Disable SMBv1 trên Server. Tuy nhiên, một điều hơi khó là File server của mình nếu block SMB thì vô tác dụng mất tiêu.

 

Không cần dis smb bạn ạ. bạn tải bản vá phù hợp với win xem: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

 

Nghe tới bản vá mình lại sợ.. Tất cả các server, PC trong công ty mình điều cập nhật đầy đủ và thường xuyên các bản vá. Chỉ duy nhất server này là sợ, vì nó là server chạy ứng dụng. Lúc trước cũng update đầy đủ cho nó nhưng các bản vá security udpate gây chậm ứng dụng kinh khủng, người dùng không truy cập được. Nó đã dính thì có remove update cũng ko giải quyết được, chỉ có cách cài lại Server. Nhiều lúc mấy bản update của Microsoft gây đau đầu dễ sợ.

 

Nghe tới bản vá mình lại sợ.. Tất cả các server, PC trong công ty mình điều cập nhật đầy đủ và thường xuyên các bản vá. Chỉ duy nhất server này là sợ, vì nó là server chạy ứng dụng. Lúc trước cũng update đầy đủ cho nó nhưng các bản vá security udpate gây chậm ứng dụng kinh khủng, người dùng không truy cập được. Nó đã dính thì có remove update cũng ko giải quyết được, chỉ có cách cài lại Server. Nhiều lúc mấy bản update của Microsoft gây đau đầu dễ sợ.

nên cân nhắc thôi bạn. chẳng hạn lỗ hổng nào nghiêm trọng như SMB thì update. Chứ không virus đào tiền ảo nó vào còn làm full cả CPU ý chứ