Server liên tục bị dò pass

Thảo luận trong 'Audit/Pentest Security' bắt đầu bởi duckquang, 30/07/18, 02:07 AM.

  1. duckquang

    duckquang New Member

    Tham gia: 30/07/18, 02:07 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào cả nhà!
    Mình là thành viên mới tham gia diễn đàn.
    Hiện nay, mình có 1 Server, kiểm tra log thì thấy có 2 vấn đề
    1. Account Administrator liên tục bị dò pass (Login báo sai pass) do mình đã lock tài khoản Administrator và thay bằng 1 tài khoản Admin khác.
    2. SQL liên tục bị dò pass tài khoản "sa" từ 1 client không rõ ràng (Chỉ có địa chỉ IP và có rất nhiều IP khác nhau, mình nghĩ đây chỉ là IP ảo của hacker).
    Mình có gửi kèm hình ảnh của các log
    Rất mong anh em cho giải pháp để xử lý dứt điểm. Mình không rành lắm về Server, cũng chỉ biết quản trị tạm tạm thôi.
    Xin chân thành cảm ơn sự giúp đỡ của anh em[​IMG]

    [​IMG]
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. krone

    krone Moderator Thành viên BQT

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 242
    Đã được thích: 122
    Điểm thành tích:
    43
    Theo mình thì khả năng cao là do 1 service nào đó đang chạy có access đến database của bạn để truy vấn, nhưng vì bạn đã lock user admin cũ nên service vẫn try reconnect. Đơn giản vì thời gian giữa các lần request giãn cách cũng tương đối, vài giây 1 lần chứ không phải dạng bruteforce tự nhiên.
    Hoặc bạn có thể dùng các service để tự động ban ip nếu số lần request quá lớn chẳng hạn.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 779
    Đã được thích: 290
    Điểm thành tích:
    83
    Hi bạn
    Dấu hiệu bị brute force mật khẩu đã khá rõ ràng
    Đầu tiên, bạn nên đổi các mật khẩu. Sau đó đặt các chính sách an ninh cho việc login (sai bao nhiêu lần thì khóa, thời gian khóa,...)
    Sau đó bạn để ý xem Firewall trên windows đã bật chưa, để ngăn chặn: tắt các port không sử dụng, chỉ bật các port cần thiết. Nếu database dùng xác thực trên windows thì để, còn nếu không thì tắt luôn.
    Nhớ là cần theo dõi thường xuyên xem tình hình thế nào để còn xử lý tiếp
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. duckquang

    duckquang New Member

    Tham gia: 30/07/18, 02:07 AM
    Bài viết: 2
    Đã được thích: 0
    Điểm thành tích:
    1
    Em cũng nghĩ thế. Pass thì đã đổi hết rồi. Tình trạng này mới xảy ra. Khi log vào kiểm tra thì phát hiện thêm là Task Manager bị disable luôn. Đã thử dùng tool của kas, cài cả bkav endpoint vào nhưng vẫn không quét được gì cả. Hiện tượng bây giờ là máy chạy khá chậm. Ko bật được Task Manager nên ko biết có bị full RAM hay CPU ko.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,294
    Đã được thích: 215
    Điểm thành tích:
    63
    Việc server bị dò password
    Trường hợp này bạn nên mua 1 bản anti virus quét sạch virus cho máy sau đó kiểm tra task manager đã khôi phục được chưa. Để chống brute force mật khẩu bạn đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác. Tương tự với port truy xuất dữ liệu SQL server.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan