Windows Hacked Phần 1- Mất quyền Remote | Vietnix

Windows Hacked Phần 1- Mất quyền Remote

02/02/2021

Bài viết nhằm hướng dẫn kiểm tra và xử lý khi Windows mất quyền remote (một hình thức nhỏ của Hack)

Hack là một vấn đề nan giải thường xuyên diễn ra gây ảnh hưởng to lớn đến người dùng, mất toàn bộ dữ liệu, bị tống tiền, chèn mã độc hay backdoor vào source/database là triệu chứng hay thấy được khi hack xảy ra. Đặc biệc với hệ điều hành Windows.

Ở bài viết này sẽ hướng dẫn bạn bước kiểm cơ bản nhất về quyền user 1 số khắc phục cơ bản để hạn chế/phòng tránh hack Remote Desktop.

1. Các nguyên nhân dẫn đến hack

  • Đặt pass quá đơn giản (như: 1234567890 hoặc 123@123456), các pass đơn giản hacker sẽ không mất quá nhiều thời gian để scan ra.
  • Dùng port remote (với windows) và ssh (với linux) với thông tin mặc định.
  • Phiên bản hệ điều hành quá cũ
  • Cài đặt ứng dụng không rõ nguồn gốc (ví dụ trang chính thống unikey là: unikey.org chứ không phải là unikey.vn).
  • Dịch vụ bạn đang chạy chứa mã độc/backdoor để hacker khai thác.
  • Không bảo mật tốt thông tin quản trị hệ thống và public ra bên ngoài.

2. Khắc phục

  • Đặt pass phức tạp gồm: Ký tự in hoa, viết thường, số, ký tự đặc biệt,… và từ 16 -> 25 ký tự (ví dụ: 2ukgyxPHxsIw0SVQaz@093)
  • Đổi port remote (với windows) và ssh (với linux).
  • Thiết lập giới hạn remote hoặc ssh thông qua windows firewall (windows) hoặc iptables (linux),…
  • Thường xuyên update hệ điều hành.
  • Sử dụng phần mềm, ứng dụng chính thống.
  • Thường xuyên sử dụng phần mềm diệt virus để kiểm tra hệ thống.
  • Quan trọng nhất là đảm bảo rằng ứng dụng mà mà bạn đang sử dụng trên hệ thống không chứa mã độc/backdoor.

3. Kiểm tra quyền remote

Nhận dạng lỗi:

Output có dạng:

To sign in remotely, you need the right to sign in through Remote Desktop Services. By default members of the Administrators group have this right. If the group you’re in does not have the right, or if the right has been removed from the Administrators group, you need to be granted the right manually.

*Hình ảnh minh hoạ:

Bước 1: Truy cập gpedit.msc
Windows image + R => Type gpedit.msc and press Enter.

hoặc

Start => Run => Type gpedit.msc and press Enter.

Bước 2: Truy cập User Rights Assignment
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

Bước 3: Xem lại quyền truy cập remote thông qua Allow log on through Remote Desktop Services
At the right Pane: double click at Allow log on through Remote Desktop Services.

Với trường hợp này user: Administrator mà VIETNIX cấp cho khách hàng đã bị mất thay vào đó là user Admin1. Và user này theo phản hồi từ người dùng là user không được tạo trong quá trình sử dụng. Vì vậy khả năng cao bạn đã bị hack và chiếm quyền remote.

**Xử lý tiếp tục theo trình tự để có thể lấy lại phần nào dữ liệu:**

  • Xoá user chiếm quyền remote (trường hợp này là user Admin1)
  • Thực hiện Add user Administrator hoặc user khác mà bạn sử dụng vào quyền remote
  • Back dữ liệu và tiến hành cài trắng lại vps/server

Cách add lại user Adminstrator.

Bước 4: Reboot lại dịch vụ
Sau khi thêm user Administrator (hoặc user có chức năng tương tự) để đảm bảo Windows cập nhật mình nên reboot/restart vps/server. Hạn chế dùng command vì đôi khi nó không thực sự hoạt động tốt để cập nhật lại sự thay đổi

gpupdate /force

Chúc bạn thành công.

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments