banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Hệ thống mạng LAN bị tấn công  XML
  [Discussion]   Hệ thống mạng LAN bị tấn công 28/04/2014 09:28:02 (+0700) | #1 | 280490
langtuhp
Member

[Minus]    0    [Plus]
Joined: 22/09/2006 16:31:07
Messages: 23
Offline
[Profile] [PM]
Kính gửi các anh trên HVA Online !

Hiện tại mạng công ty em đang bị 1 đối tượng nào đó tấn công mà em không biết nguyên nhân từ đâu cả. Liên tục có các truy cập trái phép vào mạng, có 1 đối tượng nào đó cố gắng thực hiện các phiên telnet vào hệ thống. Trên firewall có thông báo nhưng không biết làm thế nào bây giờ ?

Em gửi file hình ảnh bị telnet liên tục vào hệ thống . Cái này trên FW NS25 ghi nhận .




Các anh có phương pháp nào cứu em với, chứ như này không ổn chút nào cả ?

Hix hix
[Up] [Print Copy]
  [Discussion]   Hệ thống mạng LAN bị tấn công 28/04/2014 09:59:46 (+0700) | #2 | 280492
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Giờ vẫn còn xài telnet + http để quản trị từ xa thì đúng là bó tay, nhất là với con FW. Đổi sang ssh và https đi mới tạm đủ an toàn.
Việc bị "mò" mật khẩu thế này, cách đơn giản nhất là hạn chế source IP hoặc Interface được phép remote vào (= với việc kêt nối). Trong Netscreen có chỗ trong Interface là tùy chọn Management, chỉ bật với các Interface chỉ định. Phần service cũng thế, chỉ define những Allow Source Subnet mà được phép kết nối tới.
Thế là xong.
[Up] [Print Copy]
  [Discussion]   Hệ thống mạng LAN bị tấn công 28/04/2014 10:51:29 (+0700) | #3 | 280495
langtuhp
Member

[Minus]    0    [Plus]
Joined: 22/09/2006 16:31:07
Messages: 23
Offline
[Profile] [PM]

myquartz wrote:
Giờ vẫn còn xài telnet + http để quản trị từ xa thì đúng là bó tay, nhất là với con FW. Đổi sang ssh và https đi mới tạm đủ an toàn.
Việc bị "mò" mật khẩu thế này, cách đơn giản nhất là hạn chế source IP hoặc Interface được phép remote vào (= với việc kêt nối). Trong Netscreen có chỗ trong Interface là tùy chọn Management, chỉ bật với các Interface chỉ định. Phần service cũng thế, chỉ define những Allow Source Subnet mà được phép kết nối tới.
Thế là xong. 



Cám ơn anh đã hồi âm. Tuy nhiên chỗ này em chưa hiểu lắm, em đã tắt cái telnet đi rồi. Có bật SSH và HTTPS nhưng khi truy cập thử bằng HTTPS thì không vào trang quản lý của FW được.

Với lại nếu hạn chế những subnet được phép kết nối tới thì các website khác làm sao mà vào được. Ví như công ty em cho phép nhân viên truy cập internet trong giờ giải lao từ 12:00-13:00.

Các subnet này từ khắp nơi , không phải là chỉ 1 IP này. Lúc thì IP đến từ Châu Á( Trung Quốc là chủ yếu ), lúc thì từ Châu Mỹ...

Đây là 1 list IP mà em ghi nhận được



IP :

187.143.135.70 <---------------------------Mexico San Cristobal De Las Casas Uninet S.a. De C.v.

58.39.20.77 <--------------------------China Shanghai Chinanet Shanghai Province Network

88.250.18.179 <---------------------------Turkey Ankara Turk Telekomunikasyon Anonim Sirketi

110.250.250.125 <---------------------------China Shijiazhuang China Unicom Hebei Province Network

42.117.249.56 <---------------------------Viet Nam Ha Noi Fpt Telecom Company

182.150.43.59 <----------------------- China Chengdu Chinanet Sichuan Province Network

189.162.118.208 <--------------------------dsl-189-162-118-208-dyn.prod-infinitum.com.mx

122.4.220.37 <------------------------------China Jinan Chinanet Shandong Province Network <---------------------------37.220.4.122.broad.wf.sd.dynamic.163data.com.cn

60.207.176.252 <--------------------------China Beijing Beijing Teletron Telecom Engineering Co. Ltd.

59.46.57.67 <---------------------------China Shenyang Sy Tiantongtongxin

14.222.40.189 <----------------------------China Guangzhou Chinanet Guangdong Province Network

117.28.169.55 <----------------------------China Xiamen Chinanet Fujian Province Network <-----------------------55.169.28.117.broad.xm.fj.dynamic.163data.com.cn

181.51.253.153 <-----------------------------Colombia Bogota Telmex Colombia S.a. <-----------------------------Static-IP-181510253153.cable.net.co

175.107.248.54 <-----------------------------Pakistan Karachi Cyber Internet Services Pakistan

89.22.211.195 <-----------------------------Poland Wadowice Integrator Systemow Informatycznych Wp System S.c <---------------------------host-211-195.wad.pl

222.94.149.132 <------------------------------China Nanjing Chinanet Jiangsu Province Network

189.231.207.102 <--------------------------------Mexico Santa Maria Del Oro Uninet S.a. De C.v.

201.127.91.17 <--------------------------------Mexico Mexico City Uninet S.a. De C.v. <----------------------------dsl-201-127-91-17-dyn.prod-infinitum.com.mx

201.202.105.239 <-------------------------------Costa Rica Liberia Sardinal De Puntarenas

186.14.36.43 <-------------------------------- Venezuela, Bolivarian Republic Of Barquisimeto Corporacion Telemic C.a.

37.45.122.126 <--------------------------------Belarus Brest Republican Unitary Telecommunication Enterprise Beltelecom

186.116.133.52 <--------------------------------Colombia Bogota Andrea.perdomo

117.28.169.55 <--------------------------------China Xiamen Chinanet Fujian Province Network

195.154.5.57 <--------------------------------France Lyon Online S.a.s.

70.183.202.68 <--------------------------------United States Phoenix Cox Communications


 



[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|