Forum
Herkese merhaba,
Bir kaç firmanın Serverlarına girilip önemli veriler bir şifreleme programı ile şifrelenmiş ve Beni Oku.txt dosyası bırakılıp Verilerin şifrelendiğini şifrelerin çözülmesi için para istediğini ve mail adresinin olduğu bir dosya bırakılmış. Firmadaki arkadaş firewallın loglarında herhangi bir önemli log olmadığını söyledi. Server üzerindei event loglarıda temizlemiş. Sistemde AD var ise vatandaş kendine bir kullanıcı açıp bu hesap üzerinden işlem yapmış.
Böyle bir durumun bizimde başına gelmemesi için nasıl bir yol izlemek gerekiyor, Başına böyle bir olay gelen var ise nasıl girdiği ve çözümü ile ilgili bilgi paylaşabilirmi?
Benim gelmedi fakat olaya bir arkadaşımın bilgisayarına girilmesiyle şahit oldum. oda yedekleri geri dönmüştü.
bana göre şu şekilde yapılsa girme olasılığı düşük olur
1- sistem networkünün dışarıya açılmasını minumumda tutmak, uzak masaüstü bağlanılacaksa bunun vpn ile yapılması
2- sunucu ve client arasında ipsec kullanılabilinir
3- firewall ı dışarıdan gelebilecek ataklara karşı hazırlamak ya da buna uygun IDS ataklarını engelleyebilecek donanım satın almak
4- tüm client ve sunucu bilgisayarlarda virüs programının kurulması ve bunun güncel tutulması
5- windows updatelerinin güncel olması
bu olasılığı düşürücektir şimdilik aklıma gelenler bunlar
Merhaba,
Kesinlikle Rdp portunu değiştiriniz ve Komplex şifreler kullanınız.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
bence dışarıya rdp hiç (hatta web gibi bir servis yok ise hiçbir port )açmayın derim
illa dışarıdan gelinmesi gerekli ise ssl-vpn kullanılması daha güvenli olacaktır
Firewall olduğuna göre arkadaşların da dediği gibi RDP portunu ya VPN ile kurun yada hiç kullanmayın.
Burada bir olay daha çıkıyor. Dışarıdan tüm portları kapatsanız dahi saldırı içeriden de olabilir. Sunucunuzu ayrı bir interface alın ve buraya sadece kullanıcıların kullandığı hizmetleri erişime açın. İçeriden bile olsa RDP olarak sadece sistem kullanıcılarının PC lerine izin verin. En garantisi sistem kullanıcılarının bilgisayarları ile sunucular aynı interface diğer kullanıcılar farklı interface de olsunlar. Saldırıyı dışarıdan beklersiniz ama içeriden bir art niyetli biri de yapabilir veya içeriden birinin bilgisayarından haberi olmadan da saldırı işlemi gerçekleşebilir.
Olayların silinmesi konusunda da yine başka bir interface de bulunan bir log sistemine olayları ve firewall kayıtlarını gönderin. Logların tutulduğu bu ayrı sisteme hiçbir şekilde diğer interface lerden okunma dışında bir yetki ile ulaşılamasın.
evet işin birde bu yönü mevcut firewallda log olmaması akla
içeriden birisinin makinasına erişildiği (belki haberli belki habersiz ) ve bu makina üzerinden bu işlemin yapıldmış olabileceğini getiriyor.
clientlerin erişimleri ile ilgili kurallar konusunda güvenlik duvarında oldukca dikkatli olunmalı , Client tarafında mümkün olduğunca lokal admin hakkı
verilmemeli
Basit şifreler kullanıldığı sürece bu durumun yaşanması kaçınılmaz. RDP hacking oldukça basit bir işlem. Hele ki default portla işlem yapılıyorsa...
Daha önce benimde başıma benzer bir durum gelmişti.
Eski çalıştığım firmada müşterimin servera girip dosyaları truecrypt ile şifreleyip, dediğiniz gibi txt dosyası bırakıp yüklü miktarda ücret talep etmişlerdi. ve istediklerinin elde ettiler tabi.
Böyle bir durumda söylenildiği gibi RDP hacking basit bir süreç, kesinlikle default portlar kapatılmalı, şirket dışından bağlantı kurulacaksa vpn vs kullanılmalı ve alınan backuplar şirket dışına taşınmalı diye düşünüyorum
Tavsiyeleriniz için teşekkürler.
RDP portunu kapatıp VPN'i devreye sokacağız. RDP portunu değiştirmeninde faydası yok deniyor. Port scan ediyorlar ve açık portlara telnet çekiyorlar.
Mail eki ile trojan gönderilmesi şeklinde olabileceğini düşünüyorum.
Benim düşüncem çok basit, arkadaşlara katılıyorum Rdp şu günümüzde zorunlu hale geldiyse Vpn bağlantı kullanılmalı. Portları kapatmak hiçbir zaman tam anlamıyla çözüm olmuyor. Ben günlük olarak sistemden bağımsız harici disklere yedek alıyorum hem geçmişe dönüş yapabiliyorum. Hemde bahsi geçen saldırılara karşı minimum zarar düşünüyorum.(Tabi yarım günlük veri kaybı bile kıyametleri koparmaya yeter firmalarda 🙂 ) Ama unutmamak lazımdır ki her sistemin bir açığı vardır 🙂
Sağlıklı Günler....