Tìm thấy công cụ tấn công dò mật khẩu tại các server

[HustReMw]

Chào các bạn! Một người bạn nhờ mình rà soát virus trên một con server của họ, tình cờ mình phát hiện một công cụ tấn công dò mật khẩu nằm trên chính server đó luôn. Hacker này lộ liễu thật .

Thông tin một số file quan trọng:

File IP.txt chứa danh sách các IP đang bị dò mật khẩu. Mình kiểm tra trong file này có tới 37.611 IP.

File user.txt chứa user mặc định tấn công là Administrator

File A_A_A.txt chứa tập các mật khẩu yếu. Mình kiểm tra file này có 51.797 mật khẩu. Dưới đây là một vài mật khẩu yếu trong số đó.

File good.txt chứa các IP, user, pass mà đã tấn công mật khẩu thành công.

Các bạn hãy rà soát server của mình, đổi mật khẩu, tắt dịch vụ RDP nếu không thực sự cần thiết nhé. Một số thông tin liên quan đến việc tấn công dò mật khẩu này các bạn có thể độc các link dưới đây.

• Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu tống tiền W32.WeakPass nhắm vào các Server tại Việt Nam
• Hướng dẫn đổi port Remote Desktop
• Hướng dẫn cấu hình remote desktop an toàn ngăn chặn mã độc mã hóa dữ liệu W32.WeakPass
• Bkav phát hành công cụ kiểm tra Server để phòng chống virus W32.WeakPass

 

Cho xin File IP.txt chứa danh sách các IP đang bị dò mật khẩu. Mình kiểm tra trong file này có tới 37.611 IP.
Cảm ơn bạn nhiều

 

Xin lỗi bạn. File này chứa nhiều IP khác, mình không tiện gửi cho bạn. Bạn cần check IP của bạn thì inbox cho mình nhé

 

Càng đọc càng thấy Hacker này có tư gần gũi lắm!

 

Có bác nào có mẫu virus WeakPass này share cho mình được không cũng muốn phân tích thử

 

tìm chúng trong mục nào vậy?

 

tìm chúng trong mục nào vậy?

Sorry bạn! Giờ mình cũng không nhớ trong thư mục nào. Bạn có thể view các process đang chạy nên xem có tên nào giống trên không. Hoặc các file có icon giống vậy

 

thank thớt đã scan được vài em vps dùng chơi