xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận virus, trojan, spyware, worm...

xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	21/03/2012 23:20:32 (+0700) \| #1 \| 259541

doanpv22
Member

Joined: 02/05/2010 23:49:05
Messages: 7
Offline

Em xin chào các bác. Hiện nay hệ thống mạng công ty em đang bị nhiễm 1 loại virut cực kỳ ác, nó gây lên hiện tượng:
1) Các máy trong LAN bật chế độ Remote desktop ( để e vào xử lý khi cần) thì thường xuyên bị 1 địa chỉ lạ chiếm quyền remote desktop, cứ đang dùng lại bị logoff máy tính.
2) Cứ đến đầu giờ chiều là bị tăng băng thông đột ngột và làm sập đường mạng kết nối đến Firewall.
3) Phần mềm virut Kaspersky của em thì bị disable mấy chức năng anti-hacker và bị đặt password để không thể bật lên được. Một số mày không bị thì quét lại không phát hiện ra virut gì
( huhu! em đã cài lại mấy máy, nhưng nó lây lan trong mạng LAN rất nhanh!!!!)
Em kính mong các bác giúp đỡ em với ạ! Em xin chân thành cảm ơn! smilie

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	21/03/2012 23:48:05 (+0700) \| #2 \| 259543

xuanphongdocco
Member

Joined: 19/08/2009 08:25:03
Messages: 247
Offline

1. Buổi trưa ăn uống no say, uống cà phê và nghe nhạc.
2. Buổi chiều, chọn các máy client được cho là có triệu chứng nổi bật để theo dõi.
3. Bạn có thể chọn các phần mềm theo dõi lưu lượng mạng, theo dõi các process để truy tìm hung thủ.
4. Kiểm tra lượng băng thông gây nghẽn mạng truy cập đi đâu ngoài internet ?

Xuân Phong Nguyễn

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	21/03/2012 23:59:55 (+0700) \| #3 \| 259544

doanpv22
Member

Joined: 02/05/2010 23:49:05
Messages: 7
Offline

xuanphongdocco wrote:

1. Buổi trưa ăn uống no say, uống cà phê và nghe nhạc.
2. Buổi chiều, chọn các máy client được cho là có triệu chứng nổi bật để theo dõi.
3. Bạn có thể chọn các phần mềm theo dõi lưu lượng mạng, theo dõi các process để truy tìm hung thủ.
4. Kiểm tra lượng băng thông gây nghẽn mạng truy cập đi đâu ngoài internet ?

E đang sử dụng phần mềm PRTG để giám sát băng thông, đang dùng Nettool để theo dõi gói tin và đã bắt được khi bị remote. Tuy nhiên mỗi lần bị và em bắt gói tin thì nó có hàng mấy chục địa chỉ IP connect vào PC đấy theo port 3389 cơ, em ko thể chặn xuể đc, e check thì toàn IP bên USA và Ba Lan...
Em cũng nghỉ định kiếm cái HUB để cắm vào Gateway để bắt goi tin bằng Wireshark nhưng giờ kô kiếm đc HUB nên đành chịu! Bác có tool nào bắt được chi tiết máy nào kô? và có thể support cho em qua về nó dc kô? huhu
Sếp mắng em nhiều quá! Em xin chân thành cảm ơn các bác đã góp ý!

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 17:30:48 (+0700) \| #4 \| 259607

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Nhiều khả năng là chỉ do cùng 1 loại virus thôi, bạn cần lấy mẫu và gửi cho hãng antivirus cập nhật rồi cho các máy trong mạng nội bộ cùng quét virus lại.

Có tin này, mình thấy bạn cần chú ý:
VNCERT cảnh báo lỗ hổng hệ điều hành Microsoft Windows
http://support.cmclab.net/vn/index.php?topic=8715.0

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 18:19:36 (+0700) \| #5 \| 259609

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Hàng cty đem ra làm vật thí nghiệm làm gì vậy. Bạn chịu khó mà cài lại từ đầu toàn bộ đi. Xài đồ chùa, không update, không antivirus, không tắt autorun các loại -> thảm hoạ.

3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 19:36:26 (+0700) \| #6 \| 259613

huydd
Member

Joined: 26/02/2009 17:25:44
Messages: 26
Offline

doanpv22 wrote:

xuanphongdocco wrote:

E đang sử dụng phần mềm PRTG để giám sát băng thông, đang dùng Nettool để theo dõi gói tin và đã bắt được khi bị remote. Tuy nhiên mỗi lần bị và em bắt gói tin thì nó có hàng mấy chục địa chỉ IP connect vào PC đấy theo port 3389 cơ, em ko thể chặn xuể đc, e check thì toàn IP bên USA và Ba Lan...
Em cũng nghỉ định kiếm cái HUB để cắm vào Gateway để bắt goi tin bằng Wireshark nhưng giờ kô kiếm đc HUB nên đành chịu! Bác có tool nào bắt được chi tiết máy nào kô? và có thể support cho em qua về nó dc kô? huhu
Sếp mắng em nhiều quá! Em xin chân thành cảm ơn các bác đã góp ý!

1. Nếu nhiều gói tin từ ngoài gửi đến 3389 thì bạn chặn cổng đó trên firewall hoặc gateway router. nếu không có firewall thì dùng iptables cũng được

2. Nếu bạn muốn bắt gói tin để inspect thì có thể cấu hình Mornitor port hoặc netflow để xuất bản tin về một máy phân tích và dùng wireshark để xem mà không cần phải dùng hub

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 20:31:40 (+0700) \| #7 \| 259618

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Cái mạng công ty có mô hình gì. Switch , Router có chức năng gì(hiệu). Hệ thống windows ở phiên bản nào, có update,...?
Windows ở client bật remote desktop -> hỗ trợ kiểu gì khó ăn vậy. Remote vào lúc user đang giải lao ? hay user phải ngồi chơi ?.

Góp ý vài phát để bạn nên xem lại hệ thống ở Client và ở thiết bị mạng cần trang bị hoặc thay đổi vài thứ để đở khổ, để thời gian làm chuyện khác.

PS: http://technet.microsoft.com/en-us/security/bulletin/ms05-041(từ 2005 tới giờ)
Một ví dụ về khai thác cái dịch vụ remote desktop ở phá, trường hợp windows không update là có thể bị.

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 20:47:07 (+0700) \| #8 \| 259620

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Nghiên cứu bài này, ngoài thông tin có trong topic ở các reply trên, còn một thông tin để thử từng máy.
http://prowiki.isc.upenn.edu/wiki/The_RDP_Vulnerability

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	22/03/2012 20:52:22 (+0700) \| #9 \| 259622

huydd
Member

Joined: 26/02/2009 17:25:44
Messages: 26
Offline

Cả bài này nữa này, HVA luôn smilie

/hvaonline/posts/list/0/41627.html#259621

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	23/03/2012 18:25:41 (+0700) \| #10 \| 259709

superit
Member

Joined: 29/03/2011 05:10:58
Messages: 11
Offline

Theo mình thì nên cài lại máy sever thôi, bật firewall lên, nếu cần thiết có thể cho 1 cái firewall cứng hoặc mềm cũng được, bị thì do máy đầu đàn bị trước rối mới tới các client. Đi theo dõi mấy thằng client làm gì.

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	23/03/2012 23:52:59 (+0700) \| #11 \| 259734

doanpv22
Member

Joined: 02/05/2010 23:49:05
Messages: 7
Offline

Em xin chân thành cảm ơn các bác đã chia sẻ.
Hệ thống mạng của em có Firewall cứng. Vấn đề em bị ở đây, là nó chỉ bị ở 1 phân vùng nhỏ trong LAN. E đã phân nó ra riêng để không lây sang vùng khác. Tuy nhiên là em không biết nó bị sao cả.
công ty em dùng Kaspersky bản quyền 2 năm cơ, quét vẫn "xanh biếc". Nó chỉ bị chiếm quyền remote và sập mạng của vùng đấy ( thông lượng tăng đột ngột và sập, em shutdown port đấy phát lại được. đã dùng Access-list chặn theo ip, mac và port dịch vụ mà chỉ ngăn được tấn công port 3389, còn vụ sập do thông lượng tăng cao thì vẫn thế)! Mong các bác tư vấn em với!

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	24/03/2012 00:02:16 (+0700) \| #12 \| 259736

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

doanpv22 wrote:

Em xin chân thành cảm ơn các bác đã chia sẻ.
Hệ thống mạng của em có Firewall cứng. Vấn đề em bị ở đây, là nó chỉ bị ở 1 phân vùng nhỏ trong LAN. E đã phân nó ra riêng để không lây sang vùng khác. Tuy nhiên là em không biết nó bị sao cả.
công ty em dùng Kaspersky bản quyền 2 năm cơ, quét vẫn "xanh biếc". Nó chỉ bị chiếm quyền remote và sập mạng của vùng đấy ( thông lượng tăng đột ngột và sập, em shutdown port đấy phát lại được. đã dùng Access-list chặn theo ip, mac và port dịch vụ mà chỉ ngăn được tấn công port 3389, còn vụ sập do thông lượng tăng cao thì vẫn thế)! Mong các bác tư vấn em với!

Bạn phải đến từng máy có vấn đề cụ thể để điều tra, với các dạng mã độc hại thì chuyện này là bắt buộc.

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	24/03/2012 03:33:00 (+0700) \| #13 \| 259738

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

doanpv22 wrote:

Em xin chân thành cảm ơn các bác đã chia sẻ.
Hệ thống mạng của em có Firewall cứng. Vấn đề em bị ở đây, là nó chỉ bị ở 1 phân vùng nhỏ trong LAN. E đã phân nó ra riêng để không lây sang vùng khác. Tuy nhiên là em không biết nó bị sao cả.
công ty em dùng Kaspersky bản quyền 2 năm cơ, quét vẫn "xanh biếc". Nó chỉ bị chiếm quyền remote và sập mạng của vùng đấy ( thông lượng tăng đột ngột và sập, em shutdown port đấy phát lại được. đã dùng Access-list chặn theo ip, mac và port dịch vụ mà chỉ ngăn được tấn công port 3389, còn vụ sập do thông lượng tăng cao thì vẫn thế)! Mong các bác tư vấn em với!

HDH nào được sử dụng. Dùng một cái Switch nào đó đấu nối nhóm máy đó lại, dùng một máy có wireshark dò ra xem ai send request ra nhiều ít rồi cách li.

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	28/03/2012 07:47:05 (+0700) \| #14 \| 260025

doanpv22
Member

Joined: 02/05/2010 23:49:05
Messages: 7
Offline

tmd wrote:

doanpv22 wrote:

Em xin chân thành cảm ơn các bác đã chia sẻ.
Hệ thống mạng của em có Firewall cứng. Vấn đề em bị ở đây, là nó chỉ bị ở 1 phân vùng nhỏ trong LAN. E đã phân nó ra riêng để không lây sang vùng khác. Tuy nhiên là em không biết nó bị sao cả.
công ty em dùng Kaspersky bản quyền 2 năm cơ, quét vẫn "xanh biếc". Nó chỉ bị chiếm quyền remote và sập mạng của vùng đấy ( thông lượng tăng đột ngột và sập, em shutdown port đấy phát lại được. đã dùng Access-list chặn theo ip, mac và port dịch vụ mà chỉ ngăn được tấn công port 3389, còn vụ sập do thông lượng tăng cao thì vẫn thế)! Mong các bác tư vấn em với!

HDH nào được sử dụng. Dùng một cái Switch nào đó đấu nối nhóm máy đó lại, dùng một máy có wireshark dò ra xem ai send request ra nhiều ít rồi cách li.

E dùng wireshark rồi, hĩ nhưng tìm một cái Hub giờ khó quá, còn Switch thì kô bắt được hết bác ạ! em có liên hệ Kaspersky để hỗ trợ và đã send cho em cách quét nhưng không phát hiện ra, giao diện phần mềm virut thì vẫn "mầu xanh hoà bình" mà mạng thì vẫn bị chiếm băng thông. hix!

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	28/03/2012 08:02:07 (+0700) \| #15 \| 260028

tmd
Member

Joined: 28/06/2006 03:39:48
Messages: 2951
Offline

Switch vẫn sài được trong trường hợp này.

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	28/03/2012 09:59:16 (+0700) \| #16 \| 260051

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

doanpv22 wrote:

tmd wrote:

doanpv22 wrote:

Em xin chân thành cảm ơn các bác đã chia sẻ.
Hệ thống mạng của em có Firewall cứng. Vấn đề em bị ở đây, là nó chỉ bị ở 1 phân vùng nhỏ trong LAN. E đã phân nó ra riêng để không lây sang vùng khác. Tuy nhiên là em không biết nó bị sao cả.
công ty em dùng Kaspersky bản quyền 2 năm cơ, quét vẫn "xanh biếc". Nó chỉ bị chiếm quyền remote và sập mạng của vùng đấy ( thông lượng tăng đột ngột và sập, em shutdown port đấy phát lại được. đã dùng Access-list chặn theo ip, mac và port dịch vụ mà chỉ ngăn được tấn công port 3389, còn vụ sập do thông lượng tăng cao thì vẫn thế)! Mong các bác tư vấn em với!

HDH nào được sử dụng. Dùng một cái Switch nào đó đấu nối nhóm máy đó lại, dùng một máy có wireshark dò ra xem ai send request ra nhiều ít rồi cách li.

E dùng wireshark rồi, hĩ nhưng tìm một cái Hub giờ khó quá, còn Switch thì kô bắt được hết bác ạ! em có liên hệ Kaspersky để hỗ trợ và đã send cho em cách quét nhưng không phát hiện ra, giao diện phần mềm virut thì vẫn "mầu xanh hoà bình" mà mạng thì vẫn bị chiếm băng thông. hix!

Bạn liên lạc mấy cậu Kaspersky VN phải không?

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	06/04/2012 00:16:00 (+0700) \| #17 \| 260892

doanpv22
Member

Joined: 02/05/2010 23:49:05
Messages: 7
Offline

bolzano_1989 wrote:

Bạn liên lạc mấy cậu Kaspersky VN phải không?

Vâng! hix! Nói chung là không được hài lòng lắm vì sự support! Hix công ty em mua 150PC chứ có ít đâu! hơi thất vọng!hixhixx!

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	10/04/2012 12:41:39 (+0700) \| #18 \| 261126

cuongdang786
Member

Joined: 16/09/2010 11:04:34
Messages: 1
Offline

Tình trạng này ở một số máy bật chức nắng remote desktop ở cty em cũng bị dính. Bản thân máy em cũng bị dính con này. Cài đủ loại anti-virus: Avira, symantech, kis, avr, essential nhưng vẫn bó tay ko diệt được. Cuối cùng đánh tắt tính năng remote desktop đi và sống chung với lũ.
Microsoft Security Essential thỉnh thoảng báo là phát hiện ra con Worm:Win32C/Conficker.B và remover nhưng đựoc ít hôm lại xất liện lại.
Công nhận con nàynguy hiểm thật

[Question] xin giúp đỡ về máy bị nhiễm virut nghẽn mạng và remote desktop	10/04/2012 16:08:30 (+0700) \| #19 \| 261140

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

doanpv22 wrote:

bolzano_1989 wrote:

Bạn liên lạc mấy cậu Kaspersky VN phải không?

Vâng! hix! Nói chung là không được hài lòng lắm vì sự support! Hix công ty em mua 150PC chứ có ít đâu! hơi thất vọng!hixhixx!

Đã dùng Kaspersky thì bạn liên lạc support từ Kaspersky USA ấy (tụi này làm chuẩn), đừng dính với mấy ông Kaspersky Việt Nam làm gì, mấy ông VN này không vững chuyên môn đâu, hay phát biểu và support tào lao lắm.

Go to:

Users currently in here
1 Anonymous