Thời gian vừa qua xuất hiện một số phần mềm chuyên dụng scan password VPS để truy cập trái phép
- Sử dụng phần mềm dò cổng 3389 hoặc 22 (port mặc định dịch vụ Remote Desktop trên Windows và SSH trên Linux)
- Sau khi đã có list địa chỉ IPv4 đang mở 1 trong 2 cổng này sẽ brute force với hàng loạt user và mật khẩu dựng sẵn.
- Danh sách mật khẩu dựng sẵn mà chúng tôi thu thập được từ hacker: https://drive.google.com/file/d/19T-3GpEfZ_rtFQXvB0UghiRY1BPL92yt/view
- Danh 10K địa chỉ IPv4 bị tấn công đang mở port 3389 tại Argentina chúng tôi thu thập được từ hacker (đây chỉ là riêng Argentina): https://drive.google.com/file/d/1OKl7qwgE69FcP52R40PrN_8Gm5JdNbnE/view
- Nếu brute force mật khẩu thành công, hacker sẽ chiếm quyền truy cập VPS và thực hiện hàng loạt các thay đổi. Chúng tôi đã theo dõi và ghi nhận các cách mà đối tượng thường sử dụng:
- Truy cập vào các tài khoản tài chính mà khách hàng đã lưu trên VPS (Paypal, BTC, ETH…) và chiếm đoạt =>Cực kỳ nguy hiểm và thiệt hại lớn.
- Cài đặt các phần mềm đào tiền mã hóa.
- Cài đặt lại chính các phần mềm sử dụng để scan password =>tạo 1 mạng lưới bot scan theo cấp số nhân.
– Nghi ngờ có truy cập trái phép (bạn đang sử dụng VPS mà bị dissconect ra ngoài kèm thông báo người dùng khác đã truy cập vào), gặp thông báo như hình: https://imgur.com/moqQVRk
– VPS giật lag bất thường, CPU tăng cao không do nguyên nhân hoặc nguyên nhân do phần mềm lạ đang hoạt động.
– VPS của bạn đột nhiên bị thay đổi mật khẩu
Cách kiểm tra:
Cách 1: Trên VPS chuột phải vào Start chọn Computer Management tìm đến Local User and Groups. Nếu trên Local User and Groups, chỉ hiển thị duy nhất tài khoản Administrator (hoặc có thêm tài khoản Guest nhưng bị disable) thì các bạn chuyển sang bước 2.
Lưu ý ở cách này, nếu không thể truy cập Local User and Groups hoặc phát hiện có thêm user lạ thì có thể VPS của bạn đã bị hack, lúc này cần nhanh chóng backup dữ liệu và thực hiện cài lại Hệ điều hành. Tuyệt đối không cố gắng xóa user lạ hoặc thay đổi password vì VPS có thể bị hack lại bất cứ lúc nào.
Cách 2: Bật Task Manager, kiểm tra xem có phần mềm lạ đang chạy chiếm dụng nhiều tài nguyên CPU/RAM/Network hay không.