Máy server của mình bị mã hóa dữ liệu liên tục mặc dù đã cài KAS bản quyền

Thảo luận trong 'Hỏi đáp' bắt đầu bởi Iwanareset, 08/05/19, 09:05 AM.

  1. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Dear ace.
    Mong diễn đàn có ace nào đã biết hoặc gặp như thế này tư vấn giúp mình cách kiểm tra và phòng tránh với:
    Hiện tại bên mình đang có 1 con server vật lý cài đặt ảo hóa trên nền vmware 3 máy ảo windows server standard.
    - Máy ảo hóa 1: Cài phần mềm THĐ có đẩy dữ liệu từ client lên theo các request lưu vào database sql
    - Máy ảo hóa 2: Không cài đặt gì. Chỉ có HĐH
    - Máy ảo hóa 3: Cài đặt phần mềm như diễn đàn của web. Mọi người có thể truyền file cho nhau và đăng file lên
    Đương nhiên là 3 máy này chung đường internet của máy vật lý.
    =>Sau khi chạy 1 thời gian khoảng 7, 8 ngày máy ảo 1 bị mã hóa hết dữ liệu. đã phát hiện file backup của phần mềm này khi cài đặt lại phần mềm chứa virus.
    => 1 ngày sau máy ảo hóa 2 cũng bị theo nhưng mã hóa kiểu biến thể khác. không biết có phải con virus bên kia lây qua không
    => Máy ảo 3 vẫn chạy bình thường.
    Sau đó bên mình có nhờ bên vmware sang xóa và cài lại HĐH máy 1 và 2. sau đó bên mình cài luôn KAS cả ba máy có bản quyền.
    Chạy được khoảng 2 tuần máy ảo hóa 3 bị mã hóa kể cả KAS :(((.
    Bây giờ bên mình k biết nguồn gốc lây lan từ đâu: qua mạng lan hay cài máy ảo có thể lây qua nhau hay là bị tấn công qua internet. Rất mong ace tư vấn giúp mình phương án kiểm tra và phòng tránh ạ.
    Trân thành cảm ơn! Loi 1.PNG Loi 2.PNG Loi 3.PNG
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Đây là 1 vài thông tin thêm: trong ổ C của mình thấy có 1 forder lạ
    1.PNG 2.PNG
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 286
    Đã được thích: 218
    Điểm thành tích:
    43
    Bạn đã thực hiện rà soát như: rà soát các user người dùng, đổi tất cả các tài khoản với mật khẩu mạnh, đổi port remote desktop mặc định, tài khoản truyền file ...
    Bạn có thể vào mục Event Log trích xuất log Security để biết đc cách kẻ tấn công thực hiện tấn công và thời gian thực thi
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf and Iwanareset like this.
  4. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Vì server của mình bị mã hóa hết nên không thể vào control panel được bạn ah. Có cách khác nào kiểm tra không bạn. Về tài khoản/mật khẩu mình đặt hơi yếu thật, remote desktop thì mình đã đổi sang port khác. Còn tài khoản truyền file là gì hả bạn. Có cách nào để mình truy vết khác không ạ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình đang lo k biết 2 con máy ảo 1 và máy ảo 2 sắp tới có bị ngẻo hay không
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 291
    Đã được thích: 144
    Điểm thành tích:
    43
    Trường hợp này mình gặp nhiều. Thường bị tấn công dò mật khẩu nhé bạn
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  7. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Bạn hướng cho mình cách phòng tránh được k. Cài KAS mà còn bị thế này thì căng quá. Đập hết để cài lại thì cũng ngán vì phần mềm bên mình dựng để chạy rất lâu. Cài lại mỗi máy ảo 3 thì sợ không sạch được
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Cái mục Event Log mình xem ở 1 tài khoản khác ví dụ tài khoản admin xem cho tài khoản Administrator có được không nhỉ.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 291
    Đã được thích: 144
    Điểm thành tích:
    43
    Được bạn nhé. Khi chạy event log nó quyền cao nhất rồi. Xem được các tài khoản khác đăng nhập...
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Có bạn nào rảnh cho mình số điện thoại mình trao đổi hỗ trợ mình chút được không?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 1,050
    Đã được thích: 694
    Điểm thành tích:
    113
    Nghi vấn kịch bản tấn công như sau: server bị chiếm quyền điều khiển > cài đặt Process Hacker vào để kill Kaspersky > thực thi mã độc.
    Chi tiết thì bạn rà soát như anh em hướng dẫn trên và cập nhật thông tin để mọi người hỗ trợ nhé .
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Server bị chiếm quyền điều khiển này là do tấn công dò pass hay có thể do virus chứa sẵn trong máy mình từ trước bạn? Nếu chứa trong máy mình từ trước mà KAS không quét được ra thì nguy hiểm quá.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Nay mình vào tài khoản Administrator thì có vẻ bị tấn công từ tài khoản này. Mật khẩu mình đặt là [email protected] thì có bị dò ra không nhỉ, nếu không thì trong máy mình đúng là có virus sẵn mà KAS không quét ra. AE có bài viết hướng dẫn nào đầy đủ về dựng các rule cho server cài mới không cho mình xin với. Mình tính xóa sạch cài lại cho con máy ảo 3. không biết máy 1, 2 có bị lây sang không nhưng đến bây giờ vẫn đang chạy bình thường.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Capture.PNG Capture 2.PNG
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  15. Iwanareset

    Iwanareset Member

    Tham gia: 08/05/19, 09:05 AM
    Bài viết: 16
    Đã được thích: 0
    Điểm thành tích:
    1
    Khả năng lây qua mạng lan giữa 3 con máy ảo có cao không nhỉ. 3 con này chạy 3 phần mềm riêng rẽ không đụng chạm gì đến nhau. Ổ chứa dữ liệu của các máy ảo có dính dáng gì đến nhau không ae nhỉ
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan