Cần giúp đỡ Windows server bị hack

C

ctmanh

W-------
09/07/2014
0
6 bài viết
Cần giúp đỡ Windows server bị hack
C
Hiện tại mình đang quản lý 1 máy chủ Windows server 2008 R2, mình có enabled firewall và chỉ mở cổng 80 và 3389 để remote, hệ điều hành mình cho cập nhật thường xuyên.
Hôm qua mình remote vào server thì thấy trong ổ C có nhiều file lạ (3 file ảnh mở ra thì thấy số từ 1->9), vào mục manage user thì mình thấy có thêm 1 user là l33t thuộc nhóm administrator. Vì server này chỉ có mình quản lý nên chỉ có mỗi user administrator, mà mật khẩu administrator mình đặt rất phức tạp, mật khẩu cũng được quản lý rất kỹ.
Mình search thông tin về l33t thì thấy có mấy bài hướng dẫn hack VPS, mình đã rất hoang mang (up shell lên vps).
Mong các anh em giúp mình giải quyết vấn đề này, làm sao để tìm được con shell đó.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tesla123
Re: Cần giúp đỡ Windows server bị hack

ctmanh;23533 đã viết:
Hiện tại mình đang quản lý 1 máy chủ Windows server 2008 R2, mình có enabled firewall và chỉ mở cổng 80 và 3389 để remote, hệ điều hành mình cho cập nhật thường xuyên.
Hôm qua mình remote vào server thì thấy trong ổ C có nhiều file lạ (3 file ảnh mở ra thì thấy số từ 1->9), vào mục manage user thì mình thấy có thêm 1 user là l33t thuộc nhóm administrator. Vì server này chỉ có mình quản lý nên chỉ có mỗi user administrator, mà mật khẩu administrator mình đặt rất phức tạp, mật khẩu cũng được quản lý rất kỹ.
Mình search thông tin về l33t thì thấy có mấy bài hướng dẫn hack VPS, mình đã rất hoang mang (up shell lên vps).
Mong các anh em giúp mình giải quyết vấn đề này, làm sao để tìm được con shell đó.
Nhấn để mở rộng...
Máy của bạn đã bị exploit web app và đã bị cắm RootKit, cho nên bạn cần kiếm vài cái AV kill con rootkit này trước đã
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
C
Re: Cần giúp đỡ Windows server bị hack

Tesla123;23535 đã viết:
Máy của bạn đã bị exploit web app và đã bị cắm RootKit, cho nên bạn cần kiếm vài cái AV kill con rootkit này trước đã
Nhấn để mở rộng...
Mình đã dùng Malwarebytes AntiRootkit và Kaspersky TDSSkiller quét rồi nhưng không phát hiện được gì cả.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
DiepNV88
Re: Cần giúp đỡ Windows server bị hack

Nguyên nhân up shell là do hacker khai thác lỗ hổng của web trên server bạn đang chạy port 80 bạn cần rà soát code để vá lỗ hổng này. ví dụ các form cho phép người dùng upload file...
Ngoài ra bạn cần phân quyền chặt các thư mục theo nhu cầu sử dụng. Ví dụ thư mục up file chỉ cho ghi không cho đọc và thực thi.
Để tìm được con shell đã up lên server bạn cần rà soát các thư mục web để tìm.
tool quét shell bạn tham khảo:
https://github.com/emposha/PHP-Shell-Detector
user và password là admin/protect
Để làm việc này bạn cần có sự trợ giúp của team coder website đó.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cần tìm người dạy pentest
  • Scanless: Công cụ quét không để lại log
  • Cần giúp đỡ điều tra xâm nhập
  • Chủ đề BH 2014 : Internet Scanning - Current State and Lessons Learned
  • [Hỏi] Scanning FireWall
  • Học Network Pentesting và WebApp Pentesting thì cần chuẩn bị những kiến thức gì?
    • Thẻ
    hack windows server windows server
    Bên trên