Hacker chiếm quyền root Ubuntu 18.04

Thảo luận trong 'Hỏi đáp' bắt đầu bởi TL2, 13/07/20, 08:07 PM.

  1. TL2

    TL2 New Member

    Tham gia: 13/07/20, 08:07 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Nội dung
    • Máy ubuntu 18.4 bị tấn công.
    • Chiếm quyền ssh.
    • Chạy process lạ chiếm hết 50% CPU của máy.
    • Truy xuất và bị tấn công từ một số địa chỉ IP lạ.
    • Địa chỉ nằm trong file script tấn coong: 69.28.55.86:443, 185.71.65.238, 140.82.52.87, 119.9.76.107.
    • Đây là các địa chỉ bị UFW chặn sau khi bị phát hiện 223.71.167.165, 185.246.87.232, 45.189.24.238, 61.136.101.84, 40.89.172.2, 5.45.65.236, 94.102.51.28
    Phía dưới là folder chứa mã script và chương trình tấn công mình tìm được trong máy.
    Ace giúp mình tìm hiểu nguyên nhân và cách giải quyết.

    Thanks
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 467
    Đã được thích: 214
    Điểm thành tích:
    43
    Script đào tiền ảo nhé bạn. Thường thì bị khai thác qua các dịch vụ như docker... máy bạn server ak bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    TL2 thích bài này.
  3. TL2

    TL2 New Member

    Tham gia: 13/07/20, 08:07 PM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Cảm ơn bạn.

    Đúng rồi bạn, máy chạy server, Ubuntu 18.04, 20.04.

    Sau tình trạng của file như trên, hiện tại mình cũng dính thêm một trường hợp có vẻ tương tự (có keywork là tracker, miner, etc.)
    Nhờ bạn check kiểm tra giúp.

    Như bạn nói nó có thể tấn công qua docker, tuy nhiên chỉ có 1 máy dùng docker, nhưng có máy không dùng docker mà cũng bị dính. Vậy ngoài docker ra, nó còn lây nhiễm theo đường nào khác nữa không?

    Đính kèm file mới phát hiện.

    Cảm ơn mọi người.
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 467
    Đã được thích: 214
    Điểm thành tích:
    43
    Ngoài docker ra thì con liferay. Mình thường giải quyết theo phương pháp: Update các phần mềm mới nhất, cấu hình firewall chỉ cho phép các cổng mình sử dụng, ngoài ra sẽ chặn tất
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan