banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Virus tấn công qua port 3389  XML
  [Discussion]   Virus tấn công qua port 3389 03/03/2012 09:14:03 (+0700) | #1 | 256712
ikukumalu
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 19:24:13
Messages: 12
Offline
[Profile] [PM]
Chào mọi người.
dạo gần đây, mình gặp rất nhiều virus tấn công thông qua đường remote desktop của windows.
thông thường, mình mở port remote đễ tiện hổ trợ. nên virus thông qua đường này tấn công vào hệ thống và đỗi pass của server.
có ai gặp tình trạng tương tự góp ý mình với.
anh em cần thêm thông tin về vấn đề này mình sẽ bổ sung.
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 04/03/2012 09:03:42 (+0700) | #2 | 256809
[Avatar]
antibkav
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 20:51:49
Messages: 30
Location: lâm đồng
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
ủa em tưởng ngoài pỏt 80 ra thì các port khác chỉ mở và thực thi một proseccing tương ứng và windown thường díable remote desktop muốn dùng phải vào program and fureture cònig enable len ma. mà bik tấn công remove desktop vậy dễ lộ mà sao ko ai tấn công vậy đâu
netstat -a thi nó lộ mất rồi còn gì
đó là ý kiến của em
**** **** **** ***
** ** ** ** **** **
** ** ** **** **
** * **R **** ***EYBoard


http://khonggian-it.net
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 06:53:23 (+0700) | #3 | 256886
ikukumalu
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 19:24:13
Messages: 12
Offline
[Profile] [PM]

antibkav wrote:
ủa em tưởng ngoài pỏt 80 ra thì các port khác chỉ mở và thực thi một proseccing tương ứng và windown thường díable remote desktop muốn dùng phải vào program and fureture cònig enable len ma. mà bik tấn công remove desktop vậy dễ lộ mà sao ko ai tấn công vậy đâu
netstat -a thi nó lộ mất rồi còn gì
đó là ý kiến của em 

như mình nói là do khách hàng ở xa, nên để tiện, và lười mình mở port đễ tiện remote desktop luôn!
lộ thì bạn làm được gì nếu hacker đã đổi pass của hệ thống. cho nên chỉ có đường tắt mạng, rút điện!
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 07:02:52 (+0700) | #4 | 256887
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

ikukumalu wrote:
Chào mọi người.
dạo gần đây, mình gặp rất nhiều virus tấn công thông qua đường remote desktop của windows.
thông thường, mình mở port remote đễ tiện hổ trợ. nên virus thông qua đường này tấn công vào hệ thống và đỗi pass của server.
có ai gặp tình trạng tương tự góp ý mình với.
anh em cần thêm thông tin về vấn đề này mình sẽ bổ sung. 


Làm sao mà virus đổi pass được? Chỉ có RDP bị lỗi nặng thì mới bị đổi pass. Bản thân RDP port chỉ là cổng dịch vụ. Muốn access phải đăng nhập tên và mật khẩu.

Cách an toàn nhất là không cho RDP mà dùng một software khác như "NetSupport Manager". Còn không thì tạm thời đổi cổng RDP thành một cổng khác vì thông thường các công cụ tấn công như vậy chỉ nhắm thẳng vào 3389.

Đổi cổng RDP trên registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

Chuyện bồ cần làm là làm sao không bị lộ password chớ không phải là làm gì với RDP. Không riêng gì RDP mà bị lộ password thì coi như xong.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 10:21:14 (+0700) | #5 | 256911
[Avatar]
antibkav
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 20:51:49
Messages: 30
Location: lâm đồng
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
anh conmale cho em hỏi nếu sửa key đổi port như vậy thì mình đổi trên cả 2 máy hay chỉ máy mình thôi ( trong trường hợp của anh ikuku..)
**** **** **** ***
** ** ** ** **** **
** ** ** **** **
** * **R **** ***EYBoard


http://khonggian-it.net
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 11:00:33 (+0700) | #6 | 256914
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

antibkav wrote:
anh conmale cho em hỏi nếu sửa key đổi port như vậy thì mình đổi trên cả 2 máy hay chỉ máy mình thôi ( trong trường hợp của anh ikuku..)
 


Đổi ở đây là đổi cổng dịch vụ trên máy chủ (hoặc máy được truy cập đến).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 21:13:59 (+0700) | #7 | 256966
phuongnvt
Member

[Minus]    0    [Plus]
Joined: 09/02/2011 03:35:39
Messages: 332
Offline
[Profile] [PM]

antibkav wrote:
anh conmale cho em hỏi nếu sửa key đổi port như vậy thì mình đổi trên cả 2 máy hay chỉ máy mình thôi ( trong trường hợp của anh ikuku..)
 


bác này chắc là xài phần mềm diệt virus bkav nên mới bị người ta remote desktop quá.Có lần tới gặp một cơ quan nhà nước nó cũng xài bkav mà thằng IT đó nó ăn không ngon ngủ không yên đó.Cuối cùng thì nó nghe lời tớ, quất thằng symantec endpoint vào thì không thấy bị vấn đề đó nữa. smilie
Nhiều người nhận được lời khuyên, song chỉ có những người khôn mới sử dụng lời khuyên đó


[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 21:46:40 (+0700) | #8 | 256970
ikukumalu
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 19:24:13
Messages: 12
Offline
[Profile] [PM]

conmale wrote:

ikukumalu wrote:
Chào mọi người.
dạo gần đây, mình gặp rất nhiều virus tấn công thông qua đường remote desktop của windows.
thông thường, mình mở port remote đễ tiện hổ trợ. nên virus thông qua đường này tấn công vào hệ thống và đỗi pass của server.
có ai gặp tình trạng tương tự góp ý mình với.
anh em cần thêm thông tin về vấn đề này mình sẽ bổ sung. 


Làm sao mà virus đổi pass được? Chỉ có RDP bị lỗi nặng thì mới bị đổi pass. Bản thân RDP port chỉ là cổng dịch vụ. Muốn access phải đăng nhập tên và mật khẩu.

Cách an toàn nhất là không cho RDP mà dùng một software khác như "NetSupport Manager". Còn không thì tạm thời đổi cổng RDP thành một cổng khác vì thông thường các công cụ tấn công như vậy chỉ nhắm thẳng vào 3389.

Đổi cổng RDP trên registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

Chuyện bồ cần làm là làm sao không bị lộ password chớ không phải là làm gì với RDP. Không riêng gì RDP mà bị lộ password thì coi như xong. 


thanks anh đã trả lời.
đích xác là ko phải virus mà có cả hacker nữa. nguồn gốc là trung quốc, hôm nào e capture cái hình gửi mọi người coi cái tool nó chạy.
khi dùng kav scan thì là virus backdoor.
tạm thời e đỗi port trên server và pucbic một port khác đễ map với internal port, thường xuyên ghé thăm update KAV (thông thường các server em triển khai kav).
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 21:49:13 (+0700) | #9 | 256973
ikukumalu
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 19:24:13
Messages: 12
Offline
[Profile] [PM]

phuongnvt wrote:

antibkav wrote:
anh conmale cho em hỏi nếu sửa key đổi port như vậy thì mình đổi trên cả 2 máy hay chỉ máy mình thôi ( trong trường hợp của anh ikuku..)
 


bác này chắc là xài phần mềm diệt virus bkav nên mới bị người ta remote desktop quá.Có lần tới gặp một cơ quan nhà nước nó cũng xài bkav mà thằng IT đó nó ăn không ngon ngủ không yên đó.Cuối cùng thì nó nghe lời tớ, quất thằng symantec endpoint vào thì không thấy bị vấn đề đó nữa. smilie  

thanks bác đã ghé vào topic thảo luộn!
em là cty dịch vụ, hầu như trình diệt virus nào e cũng triển khai rồi, tuỳ số tiền và cả tuỳ ý kiến khác bác ơi, nói như bác thì BKAV nó die rồi, miển sao e bán dc sản phẩm thì nó ko cài j cũng kệ! smilie.
với trường hợp này thì server chạy KAV Koss 2. update ổn vẫn bị đập!
[Up] [Print Copy]
  [Discussion]   Virus tấn công qua port 3389 05/03/2012 21:54:22 (+0700) | #10 | 256975
ikukumalu
Member

[Minus]    0    [Plus]
Joined: 02/03/2012 19:24:13
Messages: 12
Offline
[Profile] [PM]

conmale wrote:

antibkav wrote:
anh conmale cho em hỏi nếu sửa key đổi port như vậy thì mình đổi trên cả 2 máy hay chỉ máy mình thôi ( trong trường hợp của anh ikuku..)
 


Đổi ở đây là đổi cổng dịch vụ trên máy chủ (hoặc máy được truy cập đến). 

xin lỗi vì ko bit cách đính kèm nhiều bài.
với trường hợp đỗi port thì bạn nhớ chú ý là khi remote bạn phải thêm port của máy đích.
vd: 192.168.1.100:1234
với 1234 là port RDP mới được đỗi.
còn nếu bạn public port thì như thế này.
RDP port của server:1234 - ip server: 192.168.1.100
Public port: 5678 - Wan IP: 114.161.24.123
khi đó bạn tạo policy thì map: external port =5678 map với internal port 1234.
vậy bạn remote sẽ là:
113.161.24.123:5678
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|