banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Gấp lắm - xâm nhập từ xa  XML
  [Question]   Gấp lắm - xâm nhập từ xa 26/12/2012 10:18:58 (+0700) | #1 | 272129
nguyencuong030889
Member

[Minus]    0    [Plus]
Joined: 30/10/2008 03:18:35
Messages: 11
Offline
[Profile] [PM]
e nói ngắn gọn như thế này. Thắng it cũ nó đã nghĩ việc hơn 2 tháng nhưng nó vẫn bik e chưa đổi password máy server, chuyện biết e chưa đổi password thì k có gì đáng nói, nhưng đáng nói ở đây là làm sao nó có thể xâm nhập vào máy sever mà biết e chưa đổi password

Các pro giúp e nhanh với nhé
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 26/12/2012 10:40:27 (+0700) | #2 | 272130
nangchieucali
Member

[Minus]    0    [Plus]
Joined: 16/12/2012 21:38:11
Messages: 7
Offline
[Profile] [PM]
có thể nó đã gõ lại pass cũ nhưng may mắn là vào được smilie . Hoặc trước khi nó nghỉ việc nó để 1 đống backdoor trong server của bạn rồi, nên nó ra vào rất thoải mái bạn àh. smilie
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 26/12/2012 11:14:42 (+0700) | #3 | 272132
nguyencuong030889
Member

[Minus]    0    [Plus]
Joined: 30/10/2008 03:18:35
Messages: 11
Offline
[Profile] [PM]

nangchieucali wrote:
có thể nó đã gõ lại pass cũ nhưng may mắn là vào được smilie . Hoặc trước khi nó nghỉ việc nó để 1 đống backdoor trong server của bạn rồi, nên nó ra vào rất thoải mái bạn àh. smilie  



Gõ lại pass cũ - ok, cứ cho là gõ lại pass cũ sẽ vào đc nhưng gõ trực tiếp hay thông wa mạng. đó là điều wan trọng.
backdoor - làm sao để dọn dẹp cái đống này ?
it cũ có nói với e là "sao chưa đổi pass máy server ?" - chỉ vậy thôi.
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 27/12/2012 08:46:36 (+0700) | #4 | 272159
[Avatar]
A.T
Member

[Minus]    0    [Plus]
Joined: 11/06/2011 05:45:42
Messages: 76
Offline
[Profile] [PM]

điều quan trọng nhất khi bạn "nắm lại" 1 hệ thống,1 server đang hoạt động theo mình là :
-bạn phải xem lại policy của toàn bộ hệ thống mạng của bạn,để biết được ai nắm mãng nào,ai làm mãng nào,bạn thuộc team nào ......
-kiểm tra lại những người "nắm" hệ thông trước đó,về user,permission...
-KO DÙNG TÀI KHOẢN administrator mặc định < trừ trường hợp cần thiết >
-nếu bạn vừa nắm lại hệ thống,nên đối toàn bộ password những gì bạn "nắm giử"
-server bạn phải kiểm tra lại services của nó,ứng dụng,chạy gì,dùng làm gì ,PORT này dùng làm gì..disable những thứ không dùng,
-có nhiều antivirus cho server hãy dùng và quét định kỳ..
ps:/hãy tìm hết thông tin về những người quản trị trước,và bỏ nó đi trên hệ thống của bạn là điều nên làm ngay smilie
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 27/12/2012 20:23:44 (+0700) | #5 | 272180
nguyencuong030889
Member

[Minus]    0    [Plus]
Joined: 30/10/2008 03:18:35
Messages: 11
Offline
[Profile] [PM]

A.T wrote:

điều quan trọng nhất khi bạn "nắm lại" 1 hệ thống,1 server đang hoạt động theo mình là :
-bạn phải xem lại policy của toàn bộ hệ thống mạng của bạn,để biết được ai nắm mãng nào,ai làm mãng nào,bạn thuộc team nào ......
-kiểm tra lại những người "nắm" hệ thông trước đó,về user,permission...
-KO DÙNG TÀI KHOẢN administrator mặc định < trừ trường hợp cần thiết >
-nếu bạn vừa nắm lại hệ thống,nên đối toàn bộ password những gì bạn "nắm giử"
-server bạn phải kiểm tra lại services của nó,ứng dụng,chạy gì,dùng làm gì ,PORT này dùng làm gì..disable những thứ không dùng,
-có nhiều antivirus cho server hãy dùng và quét định kỳ..
ps:/hãy tìm hết thông tin về những người quản trị trước,và bỏ nó đi trên hệ thống của bạn là điều nên làm ngay smilie  


thanks lời khuyên của bạn - cái server của cty hiện chỉ chạy mail cho cty mà thôi - nó hầu như còn nguyên bản - chỉ thay đổi chút ít - mình cũng đã change pass sau vụ này & đang rà soát xem có j chạy ngầm hay có j # thường k. > Thanks bạn nhé - mình sẽ test thật kỹ lại
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 27/12/2012 20:46:01 (+0700) | #6 | 272182
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Tham khảo: http://serverfault.com/questions/171893/how-do-you-search-for-backdoors-from-the-previous-it-person
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Gấp lắm - xâm nhập từ xa 04/01/2013 14:17:54 (+0700) | #7 | 272432
[Avatar]
micr0vnn
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 15:52:34
Messages: 67
Offline
[Profile] [PM]
Hiện tại công ty nên:
- Fix IP(trong công ty chản hạn) cho 1 dịch vụ ví dụ ssh, v.v... Hạn chế truy cập các dịch vụ hê thống trong thời gian này.
- Bắt đầu kiểm tra tất cả các service đang chạy (port, account,v.v...)
- Khi không thấy cái gì bất thường từ service thì change pass... mất pass nữa thì làm lại từ đầu ( hoặc kiếm ngươi hiểu về service của hê thống hơn bạn kiểm tra thôi do bạn kiểm tra ko ra rồi... smilie )
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|