Forum
Arkadaşlar merhaba. 2003 server sahibiyim. Cuma gününden beri sürekli olarak serverıma saldırı alıyorum. Sistemimde Kaspersky antivirüs var. SServera giren kişi nasıl giriyorsa kendisine active directory den asp.net diye bir kullanıcı açmış aynı zamanda documents and settings klasöründe de kullanıcı oluşturulmuş. Ve buraya bir takım programlar yüklemiş. Bu kişi girişi yapınca antivirüsüde devre dışı bırakmış zaten bende ozaman uyandım. Antivirüs 3 adet gene bu kullanıcının klasöründe trojan yakaladı ve sildi. Aynı zamanda bende kullnıcıyı hem active directoryden hemde manuel olarak documents and settings klasöründen girdim. Admin şifresini değiştirdim. Diğer kullanıcıların şifrelerini değiştirdim. Daha sonra kontrol ettiğimde bu kişi gene girmiş ve program kurmaya çalışıyor. Gene active directory de user açılmış ve kullanıcı oluşturulmuş. Servera ise Mass-Email Ekspreess Version (1.2.6.9) diye bir program kurulmuş. Hemen active olan durumunu disconnet ettim ve modemin dmz bağlantısını kapattım. Connet olan user gene asp.net gözüküyor ancak pc adında ise (....pc ) küfürlü bir şey yazıyor. Serverın tüm güncellemeleri yüklü antivirüs de var. Bu kişinin hangi userdan veya nasıl girdiğini nasıl öğrenebilirim ? Ve nasıl engellerim ? Neler yapmam lazım ? Clientlara viris taramsı yaptım 2 pc kaldı hiçbirinde virüs yok. Acil yardımlarınızı bekliyorum. Teşekkürler.
Selamlar,
Belliki bu işlem hiç de yabancı birisi tarafından yapılmıyor benim size tavsiyem Active Directory üzerindeki Domain Admins ve Enterprise Admins grubundaki Administrator kullanıcısı hariç bütün kullanıcıları çıkartın bütün kullanıcıların yetkilerini minimum'a düşürün document and settings klasörü altına kendi adı altında bir klasör açılmış ise bu kullanıcı remote destkop ile bağlantı kuruyordur ayrıca bunun için remote destkop (RDP) portunuzu değiştirin, Kaspersky antivirüs sadece dosya koruması yapmaktadır bunun dışında sistem koruması yapmamaktadır böyle bir ürün için Trend Micro tavsiye ederim sunucularda dahi uç nokta güvenliği sağlayabilirsiniz.
Ayrıca bu işlemleri Sunucuzu şirket ağının dışında bir ağa yani ulaşılamayan bir ağa dahil ederek yapınız yani ; sunucuyu bir switche baglayın orada sadece kendisinden başka kimseyi görmeyeceğinden çalışan işlemin bir yazılımmı yoksa bir kullanıcı olduğunu görebilirsiniz.
Bunun dışında buradan temizleme araçlarını indirin ve sistemi güvenli modda açarak bu araçlar ile bir tarama gerçekleştiriniz.
Selamlar,
Belliki bu işlem hiç de yabancı birisi tarafından yapılmıyor benim size tavsiyem Active Directory üzerindeki Domain Admins ve Enterprise Admins grubundaki Administrator kullanıcısı hariç bütün kullanıcıları çıkartın bütün kullanıcıların yetkilerini minimum'a düşürün document and settings klasörü altına kendi adı altında bir klasör açılmış ise bu kullanıcı remote destkop ile bağlantı kuruyordur ayrıca bunun için remote destkop (RDP) portunuzu değiştirin, Kaspersky antivirüs sadece dosya koruması yapmaktadır bunun dışında sistem koruması yapmamaktadır böyle bir ürün için Trend Micro tavsiye ederim sunucularda dahi uç nokta güvenliği sağlayabilirsiniz.
Ayrıca bu işlemleri Sunucuzu şirket ağının dışında bir ağa yani ulaşılamayan bir ağa dahil ederek yapınız yani ; sunucuyu bir switche baglayın orada sadece kendisinden başka kimseyi görmeyeceğinden çalışan işlemin bir yazılımmı yoksa bir kullanıcı olduğunu görebilirsiniz.
Bunun dışında buradan temizleme araçlarını indirin ve sistemi güvenli modda açarak bu araçlar ile bir tarama gerçekleştiriniz.
Merhaba cevabınız için teşekkürler. Bugün modemden Dmz özelliğin kapattım. Yani dışarıdan Servera modem üzerinden Remote Desktop ile erişimi kapattım. 2 saat kadar baktığımda sistemde oturum açılmadığını gördüm. Yarın RDP portunuda değiştireceğim. Ayrıca tavsiye ettiğiniz programlarla tarama yapacağım. Ancak anlamadığım nokta şu bu kullanıcı hangi user ile nasıl sızma yaptı ? Veya bilmediğim bir açık mı var sistende. Tüm güncellemeler yapıldı. Tüm admin şifrelerini değiştirdim. Yarında dediklerinizi deneyeceğim. Sonucu paylaşırım. Teşekkürler.