Cần giúp đỡ điều tra xâm nhập

DNK

Member
13/04/2018
1
8 bài viết
Cần giúp đỡ điều tra xâm nhập
Dear All,

Hiện mình phát hiện trên Terminal server của mình (Windows 2012 R2) bị xâm nhập và cài phần mềm đào tiền ảo MinerGate. Theo mình tìm hiểu sơ qua thì do tài khoản admin local bị brute force password nên bị xâm nhập. Nhưng vấn đề là mình không biết được hacker này đã xâm nhập qua đường nào. Trên Terminal server còn show session RDP của user Admin nên mình biết hacker đã remote vô bằng user admin và install MinerGate. Tuy nhiên, mình xem trong event log thì không có log install Minergate và log RDP vào khoảng thời gian này.

Mọi người có thể hướng dẫn mình cách thức thu thập log để xác định một số thông tin: địa chỉ IP của hacker...được không?

Mình không có kiến thức về hack nên mong mọi người giúp đỡ.

Xin cám ơn mọi người.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Bich Lien Pham
Để kiểm tra log bạn vào Event Viewer để xem log Security về các phiên đăng nhập/xác thực người dùng (có User login, IP attacker), log System để xem cài đặt
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Chào Sugi_B3o,

Cám ơn bạn đã trả lời. Mình đã vào Event Viewer để check nhưng dữ liệu Security/System log trong khoảng thời gian bị xâm nhập không có, có thể đã bị xóa mất. Bạn còn cách nào khác để xác định những thông tin nào không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn vào đường dẫn C:\Windows\System32\winevt\Logs khi log ghi hết tmp sẽ lưu xuống tại đường dẫn này, bạn kiểm tra thử
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hi Sugi
Thật không may là log trong khoảng thời gian này cũng không có.:(
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Có cách nào kiểm tra xem attacker có cài backdoor/trojan gì trên server mình không nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn cài thử Process Explorer (giám sát tiến trình) và tcpview (giám sát port, kết nối ra bên ngoài) để giám sát tổng thể
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đào tiền ảo bây giờ hay SMB lắm. Bạn kiểm tra server bạn có bị lỗ hổng này k?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
Mình sẽ cài thử tcpview và process explorer xem thử.
Nếu là SMB thì cụ thể là version mấy vậy HustRemw? v1 or v2/v3? Đúng thật bữa giờ ngoài một số port cho ứng dụng trên server, mình có mở thêm SMB. Tuy nhiên sau khi phát hiện ra xâm nhập, mình đã block port SMB, đồng thời Disable SMBv1 trên Server. Tuy nhiên, một điều hơi khó là File server của mình nếu block SMB thì vô tác dụng mất tiêu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nghe tới bản vá mình lại sợ.:). Tất cả các server, PC trong công ty mình điều cập nhật đầy đủ và thường xuyên các bản vá. Chỉ duy nhất server này là sợ, vì nó là server chạy ứng dụng. Lúc trước cũng update đầy đủ cho nó nhưng các bản vá security udpate gây chậm ứng dụng kinh khủng, người dùng không truy cập được. Nó đã dính thì có remove update cũng ko giải quyết được, chỉ có cách cài lại Server. Nhiều lúc mấy bản update của Microsoft gây đau đầu dễ sợ.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nghe tới bản vá mình lại sợ.:). Tất cả các server, PC trong công ty mình điều cập nhật đầy đủ và thường xuyên các bản vá. Chỉ duy nhất server này là sợ, vì nó là server chạy ứng dụng. Lúc trước cũng update đầy đủ cho nó nhưng các bản vá security udpate gây chậm ứng dụng kinh khủng, người dùng không truy cập được. Nó đã dính thì có remove update cũng ko giải quyết được, chỉ có cách cài lại Server. Nhiều lúc mấy bản update của Microsoft gây đau đầu dễ sợ.
:D nên cân nhắc thôi bạn. chẳng hạn lỗ hổng nào nghiêm trọng như SMB thì update. Chứ không virus đào tiền ảo nó vào còn làm full cả CPU ý chứ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
điều tra xâm nhập
Bên trên