<![CDATA[Latest posts for the topic "nhờ các cao thủ giúp đỡ về việc mất pass modem"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276740 /hvaonline/posts/list/44867.html#276740 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276741 /hvaonline/posts/list/44867.html#276741 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276745 /hvaonline/posts/list/44867.html#276745 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem

yeubaomat wrote:
Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.  
Phát hiện gì ở đây? Bạn cài Snort lúc nào chưa? ]]>
/hvaonline/posts/list/44867.html#276756 /hvaonline/posts/list/44867.html#276756 GMT
nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276838 /hvaonline/posts/list/44867.html#276838 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem

startcluster wrote:
Dear all mình làm IT đã nhiều năm,nhưng pass modem luôn luôn bị mất,người lấy không có làm hại điều gì ngoài NAT server puplic ra bên ngoài. cấu trúc mạng bên em là 2 ip tĩnh ==>modem draytek ==>switch (Domain)==>user ko hiểu vì sao mình ko NAT server pulic ra ngoài mà cứ vài ngày mình vào modem lại thấy server đã được NAT ra,mình nghi ngờ máy tính mình ngồi truy cập qua web modem bị lộ pass lên mình đã setup lại máy tính mình thành Ubuntu 12.04,sau đó truy cập vào giao diện web modem để disibale cái NAT kia đi,nhưng được vài hôm mình vào modem lại thấy server NAT ra ngoài (server domain 2008 cài full soft,sql.....),pass modem thì chỉ một mình có và dùng ubuntu lên mình nghĩ an toàn,thế mà vẫn bị. các bác giúp em phòng tránh vụ này thế nào cho tốt ạ,hoặc em đã làm sai sót ở điểm gì mà vẫn bị như thế (em nghĩ mất pass chỉ có mục đích là NAT server public chứ ko có thay đổi pass) trân trọng cảm ơn các bác help  
Có một Mod. nào đó đã "Ẩn" bài viết của bạn, mà tôi vừa mới cho "Hiện" ra lại. Mod. nào đó của HVA đã xử sự rất đúng khi làm như vậy. Bạn có biết mình đã làm điều gì không đúng không? - Bạn đã sử dụng chữ mầu đỏ. tô đậm để viết bài. Điều này không cần thiết, gây phản cảm và khó chịu cho người đọc. - Bạn viết không rõ và kỹ, dùng từ không đúng và khó hiểu. Thí dụ bạn viết: "NAT server puplic ra bên ngoài.". Lẽ ra nên viết: "đã sử dụng tiện ích NAT trong modem để public dữ liệu trong máy chủ của tôi ra ngoài mạng", hay "disable NAT', chứ không phải :disibale NAT" Bạn cần rút kinh nghiệm cho các lần sau. -------------------------- Về câu hỏi của bạn, tôi xin trả lời như sau: - Khi một user đã có password vào bảng điều khiển modem-router (bản điều khiển được thưc hiện dưới dạng một miniweb) thì user đó có toàn quyền cấu hình lai modem. Họ có thể config. lại NAT để public dữ liệu trong máy chủ i ra ngoài mạng, disable hay enable NAT.... Vì vậy vấn đề quan trọng là không thể để cho modem pass. bị lấy cắp. - Trong trường hợp một mạng nôi bộ như mạng của bạn (mà bạn đang quản lý máy chủ) thì bạn cần tìm hiểu xem một user nào đó đã lấy pass. vào modem bằng cách nào đây? Có một số cách lấy pass. modem (hay password khác) trong mạng LAN, nhưng theo tôi cách nhanh chóng và hiệu quả mà các hacker hay dùng nhất là dùng "Password Monitoring SoftwareS", như SniffPass v1.11, v.1.12, v1.13 (NIRSOFT) SniffPass v1.1x này nghe ngóng (listens) trên mạng LAN và ghi lai (capture) tất cả các password đã được dùng, các gói tin ký tự password đi qua các card mạng của mọi user trong mạng. SniffPass v1.1x sẽ cho hiện lên tức thời trên máy của hacker tất cả các password này, ghi rõ thêm đia chỉ IP local, đia chỉ IP Remote, tên user.... Trong trường hợp của bạn IP local là Private static IP của máy chủ và IP Remote là Private static IP của Draytek modem-router... - Từ phân tích trên bạn có thể áp dụng một thủ thuật khôn khéo để loại trừ việc hacker đọc được pass. vào modem, thí dụ bạn luôn đổi password vào modem ngay trước khi bạn checkout khỏi modem-router. - Bạn cũng có thể kiểm tra kỹ log của modem (repeat again: log file của chính modem Draytek nằm trong modem) để xem kỹ user nào đã thâm nhập vào modem và vào thời gian nào? Từ đó có biện pháp "mạng" hay "hành chính" để giải quyết. - Bạn cũng có thể cài đăt một Advanced Antivirus hay Internet security suite tại máy chủ và config. nó để có thể quét trong toàn mạng LAN, diệt các malicious software nghi ngờ (network scan). Vân vân... Không cần phải cài lại HDH trên máy chủ đâu. ]]>
/hvaonline/posts/list/44867.html#276843 /hvaonline/posts/list/44867.html#276843 GMT
nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276884 /hvaonline/posts/list/44867.html#276884 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem

startcluster wrote:
Dear PXMMRF Em trân trọng cảm ơn bác đã nhắc nhở,và em sẽ rút kinh nghiệm vào lần sau qua bài viết của bác em nghĩ bác đã hiểu vấn đề của em đang gặp phải,và hiện nay em vẫn chưa xử lý được và em vẫn tiếp tục nhờ sự support của các bác cho vấn đề này. - về phần user em cũng trình bày luôn là có hơn 100 user (số người vào làm việc và nghỉ việc là thường xuyên) trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả) - user chỉ cần mở web (IE,FF,Opera...) gõ địa chỉ IP sẽ hiện lên giao diện web đăng nhập modem - vấn đề server domain em ko ngại gì cả,em cũng không cài lại có điều hơi phiền là một số forder bắt buộc phải share full (em không muốn DATA full này bị share ra ngoài internet). -Hiện tượng server bị NAT ra ngoài vẫn xảy ra cho tới thời điểm này,em đã sử dụng các cách ,các kiểu rồi (kinh nghiệm trên 5 năm IT tuy gà nhưng các bác chỉ vẫn bít)thế mà vẫn chưa tìm ra thủ phạm,và vấn đề thủ phạm đưa dữ liệu ra ngoài là không được phép (VD :tài liệu PM KT,Công văn.....soure code.. solution....) Rất mong các bác thông cảm cho những lỗi nhỏ của em và giúp em xử lý được vụ này. trân trọng cảm ơn. 
OK! Tôi sẽ suy nghĩ thêm. Ban có thể diễn tả (hay tốt hơn là vẽ một toplogy) kết nối mang LAN của bạn được không? Có như thế sẽ dễ tìm ra nguyên nhân và giải pháp. Bạn cần sử dụng tiện ích "STRICT BINDING" trong Draytek modem-router. Tiện ích này sẽ gắn chặt giữa Private IP (mà modem gán cho máy user) với MAC address (của máy user- thưc chất là MAC address của card mạng của máy user này). Tiện ích này ngoài việc xác định được ai-máy nào đang vào modem căn cứ thep Private IP, còn hạn chế người ngoài cơ quan thâm nhập vào mạng. Dĩ nhiên việc thiết lập "STRICT BINDING" cho nhiều máy trong LAN cũng mất một số thời gian lúc đầu. Bạn cũng nên cài thêm một soft. monitoring toàn mạng LAN tại bất cứ thời điểm nào, như Look@LAN chẳng hạn. ]]>
/hvaonline/posts/list/44867.html#276888 /hvaonline/posts/list/44867.html#276888 GMT
nhờ các cao thủ giúp đỡ về việc mất pass modem trong log modem em chỉ thấy IP máy nào vào thôi chứ ko hiện lên user (nên em ko khẳng định hoặc nghi ngờ ai cả)   Sao không thử kiểm tra log của DHCP hay các hệ thống khác để lấy thông tin về IP này ? ]]> /hvaonline/posts/list/44867.html#276892 /hvaonline/posts/list/44867.html#276892 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#276968 /hvaonline/posts/list/44867.html#276968 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#277034 /hvaonline/posts/list/44867.html#277034 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#277132 /hvaonline/posts/list/44867.html#277132 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem

myquartz wrote:
Coi chừng việc NAT là do uPNP thực hiện chứ không phải do ai đó login vào router thay đổi (nếu pass đặt khó, chữ hoa/thường/số và không ai biết ngoài bạn + thay đổi trong sự an toàn => khó có cơ hội thay nó đấy). Nếu bật tính năng uPNP này trên router, một client bình thường không cần mật khẩu cũng có thể khiến cho router "tạo NAT forward" được thông qua việc gửi yêu cầu upnp đến router. uPNP rất có ích cho mạng home khi chat skype, hay bittorrent. Nhưng với mạng văn phòng thì có thể tắt nó đi (trên router). 
Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được. đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em.... trân trọng]]>
/hvaonline/posts/list/44867.html#277309 /hvaonline/posts/list/44867.html#277309 GMT
nhờ các cao thủ giúp đỡ về việc mất pass modem /hvaonline/posts/list/44867.html#277314 /hvaonline/posts/list/44867.html#277314 GMT nhờ các cao thủ giúp đỡ về việc mất pass modem

startcluster wrote:
Dạ thưa anh em đã check phần uPNP trên modem (draytek 2950) và phần này vẫn tắt theo mặc định của nó em đã đọc và tìm hiểu nhiều kiểu rùi giờ vẫn chưa giải quyết được vấn đề (chắc em gà) còn user thì có hơn 100 và có 6-7 phòng ban (nhìn ông nào cũng nghi) nhưng ko thế túm cả lũ được. đã có thêm foder chứa phim được download về sever và được public ra ngoài,vấn đề có vẻ sắp nghiêm trọng và mất kiểm soát tới nơi rồi,rất mong các bác chỉ giúp em.... trân trọng 
Vậy là vấn đề nghiêm trọng hơn bạn nghĩ. Giờ bạn check lai 1 số vấn đề sau: 1. router/modem của bạn đã up firmware mới nhất từ nhà sản xuất chưa? việc firmware có lỗi bảo mật tuy ít nhưng vẫn có thể có. 2. bạn kết duy nhất máy của bạn vào modem (rút tất cả cái khác ra hoặc mang laptop lên gần modem cắm). Và đổi pass. Pass khó không khó để đặt đâu. 3. Máy tính bạn sử dụng để vào web admin và đổi pass, phải chắc chắn nó là máy sạch, nếu đã dính key logger thì việc đổi ở step 2 là vô nghĩa hoàn toàn. Để chắc chắn không dính, bạn hay download 1 bản linux LiveCD, như là Ubuntu, về boot CD lên, chỉ mở mỗi Firefox ra để đổi. Đổi xong, không bao giờ login lại modem bằng mật khẩu mới (để kiểm tra có bị không) trừ khi dùng cái đĩa Ubuntu kia boot lên. 4. Để 1 một thời gian, làm step 2 và 3 vào web admin an toàn rồi để check xem config có bị thay đổi gì không. Nếu thực hiện các việc trên mà vẫn bị. Việc làm cuối cùng là thay cái modem đó bằng một cái khác. Mình nghĩ nó có gì đó không ổn lắm ở chính nó. PS: lời khuyên - nên tập sử dụng Ubuntu hoặc một Linux tương tự, nó an toàn và tin cậy hơn nhiều so với Windows, và có nhiều đồ chơi đối với admin. Cắm một máy linux vào mạng, cài 1 tool có tên là tcpdump, rồi gõ lệnh: tcpdump -i <tên LAN interface ví dụ eth0> -nn arp Nhìn các gói ARP bắn ra, sẽ biết có ai đó trong mạng đang tấn công ARP Spoofing hay không, đây là cách tấn công "ăn trộm" mật khẩu phổ biến khi ở trong cùng mạng LAN.]]>
/hvaonline/posts/list/44867.html#277390 /hvaonline/posts/list/44867.html#277390 GMT