Forum

Kiralık sunucu Brut...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Kiralık sunucu Brute Force Saldırısı

7 Yazılar
5 Üyeler
1 Reactions
744 Görüntüleme
(@egemenkoksal)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

 

Merhaba.

A isimli bir hosting firmasından sunucu kiraladık. İçerisinde Windows Server 2019 Datacenter 64 bit sistem var.

IP adresi ile Uzak erişim rdp bağlanıp kullanıyoruz. Hosting işi yaptırMIyoruz. 

Kiraladığımız bu sunucuyu hosting firması Vmware üzerinde sanal makina oluşturarak müşterilerine satıyor.

Gelelim soruna;

Yaklaşık 1 yıldır sorunsuz kullandığımız bu kiralık sunucumuzun yaklaşık 20 gün önce ip adresine Brute Force attack olduğunu farkettik. Event Loglarda Security kısmında sunucuya girmek için sürekli kullanıcı adı ve şifre denendiğini gördük. Bunu yazılımla yapıyorlar ve saniyede bilmemkaç tane şifre deniyor. Hemen Şifreyi değiştirdik ve çok uzun ve güvenilir hale getirdik. (Son 6 ayda hiçbir değişiklik yapmadık. Ne bir program yazılım kurduk ne update vs bu tarz hiçbir işlem yapmadık.)

Bu saldırıyı yapan kişi yada kişilerin çalıştırdığı program, sunucuya ulaşamasın ve vazgeçsinler diye sunucuyu 15 gün kapalı (shutdown) tuttuk. 15 gün sonra tekrar açtığımızda saldırı kaldığı yerden devam etti. (ekteki resimde görebilirsiniz)
Hosting firması ile görüştük ve kendilerinde bir sorun olmadığını VM sistemde güvenlik zaafiyetlerinin bulunmadığını söyleyip yapacağımız bir şey yok dediler. 

Sunucuda Firewall ve Kerio isimli bir antivirüs ve malware yazılımı mevcut. Fakat bir tehdit bulmuyor. 

Firma ile görüşüp ip adresini değiştirttik. Değişen bir şey olmadı. Security günlüklerinde yine her saniye admin şifresi denenmeye devam etti. 

Çözüm için ne yapabiliriz neden kaynaklı olabilir. Gerçekten bir saldırı mı yoksa içerisindeki bir kötü yazılım mı bunu yapıyordur. Yoksa firmanın vm fiziki makinasında mı bir sorun. Tıkandık, bilgisi olan varsa seviniriz.

elog
Bu konu 1 yıl önce 3 defa egemen köksal tarafından düzenlendi
 
Gönderildi : 13/06/2023 10:45

(@resulsoydas)
Gönderiler: 1658
Noble Member
 

İlk aklıma gelenler;

Firmadan Firewall hizmeti satın alın.

RDP'yi dışarıya kapatın. En azından sadece belli IP adreslerinden erişilecek şekilde izin verin.

Sunucunuza VPN yaparak bağlanın.

Güncellemeler sistem zafiyetlerini kapattığından mutlaka güncellemeleri yapın.

Localadmin hesabının adını da değiştirebilirsiniz.

RDP konusu bu forumda defalarca konuşuldu. Portunu da değiştirseniz birşey değişmeyecek.

 

 
Gönderildi : 13/06/2023 10:56

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33301
Illustrious Member Yönetici
 

Dışarıya RDP açılmaz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/06/2023 12:15

(@egemenkoksal)
Gönderiler: 112
Estimable Member
Konu başlatıcı
 

Rdp'yi biz erişebilmek için açıyoruz. rdp bağlanıp bu bilgisayarı fiziki bir bilgisayar gibi kullanmamız gerekiyor. İşimiz o yönde.

 

Resul bey, Firewall hizmeti zaten aldık firmadan. Ama sanırım bir işe yaramıyor.

Güncellemeleri yapmıştık.

 

Geri bildirim için yazayım Sorunu şu şekilde çözdük;

Önce rdp portunu değiştirdik. rdp, 80 ve 443 portları dışında kalan tüm portları kapattık.

attack durdu.

 
Gönderildi : 13/06/2023 14:20

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4560
Co-Helper
 

Yukarıda söylenmişti portu değiştirmeniz ve yaptıklarınız bir işe yaramaz rdp açık olduğu müddetçe yarın ip scanler, retrylar devam eder.
Forum da çok var bu konular temelleri hep yazdık, ip'lerine denemeler herkesin yapılıyor zaafiyeti olan açık port bulurlarsa sızma ihtimali de olur.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 13/06/2023 14:46

(@resulsoydas)
Gönderiler: 1658
Noble Member
 

Port dışarıya açıldığı sürece firewall bir işe yaramayacaktır. RDP'nin portunu değiştirmeniz de işe yaramayacak. En azından sadece kendi IP adresleriniz için izin vermelisiniz.

 

 
Gönderildi : 13/06/2023 15:27

(@serkanates)
Gönderiler: 1317
Üye
 

Ayrıca bknz: https://sozluk.cozumpark.com/virtual-private-network

 
Gönderildi : 15/06/2023 08:12

Paylaş: