Forum

2003 Server'ıma Sal...
 
Bildirimler
Hepsini Temizle

2003 Server'ıma Saldrıyorlar Acil Yardım.

3 Yazılar
2 Üyeler
0 Reactions
474 Görüntüleme
(@eserakpinar)
Gönderiler: 14
Eminent Member
Konu başlatıcı
 

Arkadaşlar merhaba. 2003 server sahibiyim. Cuma gününden beri sürekli olarak serverıma saldırı alıyorum. Sistemimde Kaspersky antivirüs var. SServera giren kişi nasıl giriyorsa kendisine active directory den asp.net diye bir kullanıcı açmış aynı zamanda documents and settings klasöründe de kullanıcı oluşturulmuş. Ve buraya bir takım programlar yüklemiş. Bu kişi girişi yapınca antivirüsüde devre dışı bırakmış zaten bende ozaman uyandım. Antivirüs 3 adet gene bu kullanıcının klasöründe trojan yakaladı ve sildi. Aynı zamanda bende kullnıcıyı hem active directoryden hemde manuel olarak documents and settings klasöründen girdim. Admin şifresini değiştirdim. Diğer kullanıcıların şifrelerini değiştirdim. Daha sonra kontrol ettiğimde bu kişi gene girmiş ve program kurmaya çalışıyor. Gene active directory de user açılmış ve kullanıcı oluşturulmuş. Servera ise Mass-Email Ekspreess Version (1.2.6.9) diye bir program kurulmuş. Hemen active olan durumunu disconnet ettim ve modemin dmz bağlantısını kapattım. Connet olan user gene asp.net gözüküyor ancak pc adında ise (....pc ) küfürlü bir şey yazıyor. Serverın tüm güncellemeleri yüklü antivirüs de var. Bu kişinin hangi userdan veya nasıl girdiğini nasıl öğrenebilirim ? Ve nasıl engellerim ? Neler yapmam lazım ? Clientlara viris taramsı yaptım 2 pc kaldı hiçbirinde virüs yok. Acil yardımlarınızı bekliyorum. Teşekkürler.

 
Gönderildi : 13/06/2011 20:29

(@huseyinkartal)
Gönderiler: 651
Honorable Member
 

Selamlar,

Belliki  bu işlem  hiç de yabancı  birisi  tarafından yapılmıyor benim size  tavsiyem  Active Directory üzerindeki Domain Admins ve Enterprise Admins grubundaki  Administrator kullanıcısı  hariç  bütün kullanıcıları  çıkartın  bütün kullanıcıların yetkilerini  minimum'a  düşürün document and settings klasörü  altına  kendi adı altında  bir  klasör açılmış ise  bu  kullanıcı  remote destkop ile  bağlantı  kuruyordur  ayrıca  bunun için remote destkop (RDP) portunuzu  değiştirin, Kaspersky antivirüs  sadece  dosya  koruması  yapmaktadır  bunun  dışında  sistem koruması  yapmamaktadır  böyle  bir ürün için Trend Micro  tavsiye ederim sunucularda  dahi uç nokta güvenliği  sağlayabilirsiniz. 

Ayrıca  bu işlemleri  Sunucuzu şirket  ağının  dışında  bir ağa  yani ulaşılamayan bir ağa  dahil ederek yapınız yani ; sunucuyu  bir switche  baglayın orada  sadece  kendisinden başka  kimseyi  görmeyeceğinden   çalışan işlemin  bir yazılımmı  yoksa  bir  kullanıcı  olduğunu  görebilirsiniz.

Bunun  dışında  buradan  temizleme araçlarını  indirin ve sistemi  güvenli  modda  açarak bu araçlar  ile bir tarama  gerçekleştiriniz.

 
Gönderildi : 13/06/2011 20:52

(@eserakpinar)
Gönderiler: 14
Eminent Member
Konu başlatıcı
 


Selamlar,


Belliki  bu işlem  hiç de yabancı  birisi  tarafından yapılmıyor benim size  tavsiyem  Active Directory üzerindeki Domain Admins ve Enterprise Admins grubundaki  Administrator kullanıcısı  hariç  bütün kullanıcıları  çıkartın  bütün kullanıcıların yetkilerini  minimum'a  düşürün document and settings klasörü  altına  kendi adı altında  bir  klasör açılmış ise  bu  kullanıcı  remote destkop ile  bağlantı  kuruyordur  ayrıca  bunun için remote destkop (RDP) portunuzu  değiştirin, Kaspersky antivirüs  sadece  dosya  koruması  yapmaktadır  bunun  dışında  sistem koruması  yapmamaktadır  böyle  bir ürün için Trend Micro  tavsiye ederim sunucularda  dahi uç nokta güvenliği  sağlayabilirsiniz. 


Ayrıca  bu işlemleri  Sunucuzu şirket  ağının  dışında  bir ağa  yani ulaşılamayan bir ağa  dahil ederek yapınız yani ; sunucuyu  bir switche  baglayın orada  sadece  kendisinden başka  kimseyi  görmeyeceğinden   çalışan işlemin  bir yazılımmı  yoksa  bir  kullanıcı  olduğunu  görebilirsiniz.


Bunun  dışında  buradan  temizleme araçlarını  indirin ve sistemi  güvenli  modda  açarak bu araçlar  ile bir tarama  gerçekleştiriniz.







Merhaba cevabınız için teşekkürler. Bugün modemden Dmz özelliğin kapattım. Yani dışarıdan Servera modem üzerinden Remote Desktop ile erişimi kapattım. 2 saat kadar baktığımda sistemde oturum açılmadığını gördüm. Yarın RDP portunuda değiştireceğim. Ayrıca tavsiye ettiğiniz programlarla tarama yapacağım. Ancak anlamadığım nokta şu bu kullanıcı hangi user ile nasıl sızma yaptı ? Veya bilmediğim bir açık mı var sistende. Tüm güncellemeler yapıldı. Tüm admin şifrelerini değiştirdim. Yarında dediklerinizi deneyeceğim. Sonucu paylaşırım. Teşekkürler.

 
Gönderildi : 14/06/2011 01:57

Paylaş: