Hướng dẫn kiểm tra và đảm bảo an toàn cho máy chủ VPS

Thời gian vừa qua xuất hiện một số phần mềm chuyên dụng scan password VPS để truy cập trái phép

Phương thức hoạt động:
  • Sử dụng phần mềm dò cổng 3389 hoặc 22 (port mặc định dịch vụ Remote Desktop trên Windows và SSH trên Linux)
  • Sau khi đã có list địa chỉ IPv4 đang mở 1 trong 2 cổng này sẽ brute force với hàng loạt user và mật khẩu dựng sẵn.
  • Nếu brute force mật khẩu thành công, hacker sẽ chiếm quyền truy cập VPS và thực hiện hàng loạt các thay đổi. Chúng tôi đã theo dõi và ghi nhận các cách mà đối tượng thường sử dụng:
    • Truy cập vào các tài khoản tài chính mà khách hàng đã lưu trên VPS (Paypal, BTC, ETH…) và chiếm đoạt =>Cực kỳ nguy hiểm và thiệt hại lớn.
    • Cài đặt các phần mềm đào tiền mã hóa.
    • Cài đặt lại chính các phần mềm sử dụng để scan password =>tạo 1 mạng lưới bot scan theo cấp số nhân.
Nguy hiểm ở chỗ, các đối tượng truy cập vào VPS và tạo thêm user với toàn quyền quản trị (tài khoản và mật khẩu quản trị mà khách hàng đang sử dụng không hề bị thay đổi). Có nghĩa là Hacker có toàn quyền truy cập vào VPS song song với khách hàng mà khách hàng không hề hay biết.
Nếu các bạn đang sử dụng VPS (bất kể của nhà cung cấp VPS nào ) nếu chưa thực hiện nâng cao bảo mật như hướng dẫn ở đây: http://www.vpsmmo.net/2019/05/huong-dan-cach-bao-mat-vps-windows.html. Hoặc cho dù đã sử dụng rồi thì cũng nên kiểm tra lại theo hướng dẫn sau:
Hiện tượng:
– Nghi ngờ có truy cập trái phép (bạn đang sử dụng VPS mà bị dissconect ra ngoài kèm thông báo người dùng khác đã truy cập vào), gặp thông báo như hình: https://imgur.com/moqQVRk
– VPS giật lag bất thường, CPU tăng cao không do nguyên nhân hoặc nguyên nhân do phần mềm lạ đang hoạt động.
– VPS của bạn đột nhiên bị thay đổi mật khẩu

Cách kiểm tra:

Cách 1: Trên VPS chuột phải vào Start chọn Computer Management tìm đến Local User and Groups. Nếu trên Local User and Groups, chỉ hiển thị duy nhất tài khoản Administrator (hoặc có thêm tài khoản Guest nhưng bị disable) thì các bạn chuyển sang bước 2.

Lưu ý ở cách này, nếu không thể truy cập Local User and Groups hoặc phát hiện có thêm user lạ thì có thể VPS của bạn đã bị hack, lúc này cần nhanh chóng backup dữ liệu và thực hiện cài lại Hệ điều hành. Tuyệt đối không cố gắng xóa user lạ hoặc thay đổi password vì VPS có thể bị hack lại bất cứ lúc nào.

Cách 2: Bật Task Manager, kiểm tra xem có phần mềm lạ đang chạy chiếm dụng nhiều tài nguyên CPU/RAM/Network hay không.

Leave a Reply