Thời gian vừa qua xuất hiện một số phần mềm chuyên dụng scan password VPS để truy cập trái phép. Sau khi nhận được phản ánh của 1 số khách hàng, chúng tôi ngay lập tức tiến hành phân tích kỹ thuật.
Các phân tích bên dưới dựa trên kết quả thực nghiệm được chính bộ phận support và kỹ thuật của ElfCloud thực hiện. Chúng tôi đã thử nghiệm tạo 1 số VPS với 1 mật khẩu thông dụng. Kết quả là chỉ trong vòng 24h, toàn bộ đã bị hack vào và bị change password hoặc tạo thêm user mới. Duy nhất 1 VPS thử nghiệm đã change port 3389 sang 1 port khác là vẫn an toàn.
Phương thức hoạt động:
- Sử dụng phần mềm dò cổng 3389 hoặc 22 (port mặc định dịch vụ Remote Desktop trên Windows và SSH trên Linux)
- Sau khi đã có list địa chỉ IPv4 đang mở 1 trong 2 cổng này sẽ brute force với hàng loạt user và mật khẩu dựng sẵn.
- Danh sách mật khẩu dựng sẵn mà ElfCloud thu thập được từ hacker: https://drive.google.com/file/d/19T-3GpEfZ_rtFQXvB0UghiRY1BPL92yt/view
- Danh 10K địa chỉ IPv4 bị tấn công đang mở port 3389 tại Argentina ElfCloud thu thập được từ hacker (đây chỉ là riêng Argentina): https://drive.google.com/file/d/1OKl7qwgE69FcP52R40PrN_8Gm5JdNbnE/view
- Nếu brute force mật khẩu thành công, hacker sẽ chiếm quyền truy cập VPS và thực hiện hàng loạt các thay đổi. ElfCloud đã theo dõi và ghi nhận các cách mà đối tượng thường sử dụng:
- Truy cập vào các tài khoản tài chính mà khách hàng đã lưu trên VPS (Paypal, BTC, ETH…) và chiếm đoạt =>Cực kỳ nguy hiểm và thiệt hại lớn.
- Cài đặt các phần mềm đào tiền mã hóa.
- Cài đặt lại chính các phần mềm sử dụng để scan password =>tạo 1 mạng lưới bot scan theo cấp số nhân.
Nguy hiểm ở chỗ, các đối tượng truy cập vào VPS và tạo thêm user với toàn quyền quản trị (tài khoản và mật khẩu quản trị mà khách hàng đang sử dụng không hề bị thay đổi). Có nghĩa là Hacker có toàn quyền truy cập vào VPS song song với khách hàng mà khách hàng không hề hay biết.
Nếu các bạn đang sử dụng VPS (bất kể của ElfCloud hay của nhà cung cấp nào khác) nếu chưa thực hiện nâng cao bảo mật như hướng dẫn ở đây: Hoặc cho dù đã sử dụng rồi thì cũng nên kiểm tra lại theo hướng dẫn sau:
Hiện tượng:
- Nghi ngờ có truy cập trái phép (bạn đang sử dụng VPS mà bị dissconect ra ngoài kèm thông báo người dùng khác đã truy cập vào), gặp thông báo như hình: https://imgur.com/moqQVRk
- VPS giật lag bất thường, CPU tăng cao không do nguyên nhân hoặc nguyên nhân do phần mềm lạ đang hoạt động.
- VPS của bạn đột nhiên bị thay đổi mật khẩu
Cách kiểm tra:
- Cách 1: Trên VPS chuột phải vào Start chọn Computer Management tìm đến Local User and Groups. Nếu trên Local User and Groups, chỉ hiển thị duy nhất tài khoản Administrator (hoặc có thêm tài khoản Guest nhưng bị disable) thì các bạn chuyển sang bước 2.
- Lưu ý ở cách này, nếu không thể truy cập Local User and Groups hoặc phát hiện có thêm user lạ thì có thể VPS của bạn đã bị hack, lúc này cần nhanh chóng backup dữ liệu và thực hiện cài lại Hệ điều hành. Tuyệt đối không cố gắng xóa user lạ hoặc thay đổi password vì VPS có thể bị hack lại bất cứ lúc nào.
- Cách 2: Bật Task Manager, kiểm tra xem có phần mềm lạ đang chạy chiếm dụng nhiều tài nguyên CPU/RAM/Network hay không.
Để đảm bảo an toàn thông tin và dữ liệu cho chính các bạn, vui lòng tham khảo các cách nâng cao bảo mật cho VPS nói riêng và Server nói chung tại:
Nếu đang sử dụng dịch vụ của ElfCloud và cần thêm sự trợ giúp, vui lòng liên hệ Live Chat hoặc Trung tâm CSKH elfcloud.vn