Forum
Bildirimler
Hepsini Temizle
Windows Server
19
Yazılar
9
Üyeler
0
Reactions
1,113
Görüntüleme
Konu başlatıcı
Arkadaşlar merhaba,
Bu sabah çok tatsız bir olayla karşılaştık. Şu an Serverimizdaki bütün datalar ( Logo programı, Exchange datalar, sql datalar) tamamen silinmiş durumda. Disklerimiz neredeyse boş. Sanırım bir hacker saldırmış. Masaüstünede bir not bırakmış, datalarınıza ulaşmak istiyorsanız benimle irtibata geçin diye. Servera baktığımızda Eraser diye bir program yüklenmiş. Sanırım silme işlemini bununla yapmış. Yedekleme diskimiz usb den olduğundan onunda içini boşaltmış.
Eraser programına internette baktığımda güvenli silme programı diye geçiyor. Acaba bizim bu silinen dosyaları kurtarmamız mümkünmüdür? Bu durumda ne yapmamız gerekir?
Destek verdiğimiz çoğu firmada benzer sıkıntılar çekiyoruz. Serverda admin şifrelerimiz değişiyor, dosyalar siliniyor. Bunu nasıl başarıyorlar acaba? Nasıl bir önlem alabiliriz? Serverlarımızda Trend micro worry free kullanıyoruz, ayrıca Sonicwall güvenlik cihazlarımızda var.
Gönderildi : 22/12/2011 13:19
Diskdeki verileri kurtarmak için prof. veri kurtarma merkezlerinden yararlanabilirsiniz.
Saldıranı bulmak için Firewall logların , windows loglarını inceleyin. Gerçi sağlam bir alt yapınız olmadığını düşünüyorum. Bu sorun müşterilerinize kadar uzuyorsa...
Ayrıca bu işi yapan içeriden biri olma ihtimalide söz konusu.. Düzgün bir firewall , Vlan vb. yapı kurup , arkaya iyi bir AV vs. kurarsanız çok sorun yaşamazsınız. Gerçi bu işler bütçe ile ilgili..
Not bırakıp , bana ulaşın diyorsa ulaşın sizde , polise haber verin:) Sanki daha önceden garezi olan biri gibi görünüyor.
Ayrıca günlük olarak logları incelemelisiniz. Her gün onlarca attack girişimi yapılıyor. DDOS , Men in the middle , Sql injection vb.
Çok zor bir durum. Geçmiş olsun..
Gönderildi : 22/12/2011 13:33
Hocam merhaba,
Öncelikle geçmiş olsun, kötü bir durum. Sana şunu söyleyebilirim şifre kırmak , çok zor hatta mümkün olamayan birşeydir. Muhtemelen senin sistemineki yapılandırmalarda açık var.(En yakınındaki insanlardan şüphe edebilirsin) Mesela firewall da önceden yapılandırılmış portlar, serverda açılmış yedek admin hesabı gibi. Yada kullanıdığınız şifreleri başkaları da biliyordur.
Bence senin yapman gereken eğer loglar temizlenmemişse, en son bağlanan ip adresini bilişim suçlarına şikayet etmelesin. Datalara ulaşman biraz zor gözüküyor. Data kurtarma firmaları da çok iyi işini yapan bir yer bulmalısın. Çünkü datayı kurtarıp, diski çalışmaz hale getirip biz kurtarırız diyip fahiş fiyat isyteyenler de var.
Hocam dediğim gibi problem bence içerde!
Yada adamı tamam anlaştık de çözümparka gelsin hepimiz dalalım adama 🙂 Şaka bir yana çok geçmiş olsun tekrar.
Gönderildi : 22/12/2011 13:42
Konu başlatıcı
Teşekkürler arkadaşlar cevaplar için.
Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı. Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz.
Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler..
Gönderildi : 22/12/2011 14:05
öncelikle geçmiş olsun bir it personelin başına gelecek olan en kötü şey başınıza gelmiş en büyük güvenlik açığı her zaman içtedir! benim tahminim dışardan saldırı değilde içerden birisnin yaptığı yönünde ben senin yerinde olsam adama telefon açar polisle beraber baskın yapardım öbür türlü dataların hepsini kurtarman çok zor...
Gönderildi : 22/12/2011 14:08
Geçen gün netsec de paylaşmıştım. Bıraktığı bilgi ve istekler aşağıda ki gibi ise aynı şahısdan bahsediyoruz demektir. Bu olay emniyete intikal etmiş durumda, takibinde. Sizde durumunuzu mutlaka bildirin. Onlar sizi yönlendirecektir. Ben biraz da bunun üzerinden gideceğim. Açıkçası şahsın size dataları yedeğiniz yoksa vermesinden başka yapabileceğiniz birşey yok. Data Recovery yoluna başvurabilirsiniz fakat bazı firmalarda datalar şifrelenmiş ve bunun üzerine silinmiş veya silinmemiş. Eraser vb. tool larla yapılan silinmeleri basit toollarla geri getiremezsiniz. Diskleri şifreledikten sonra sildiyse zaten unutun yapılabilecek hiç bir şey yok. Yoksa prof. data kurtarma hizmeti için sadece plakaların bütün tek parça olarak elde bulunması bile yeterlidir. Bu iş yurt dışında yapılır. Böyle bir hizmet size 2500 ila 8bin € arasına mal olur (Rusya kanalı üzerinden).
Benim diyebileceklerim şimdilik bu kadar. Sistem açıklarından faydalanıyorlar. İşte güvenlik politikaları bu yüzden çok önemli, geri dönülemez noktalara gelmeden önce yatırım yapılmalı.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 22/12/2011 18:43
Teşekkürler arkadaşlar cevaplar için.
Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı. Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz.
Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler..
Sizin ekipten biri olabilirmi..
Gönderildi : 22/12/2011 19:28
Konu başlatıcı
Ufuk bey bizim ekipte bir ben bir patron var, birde stajerimiz var 🙂
Ibrahim Bey çok teşekkürler cevap için. Bugün Mecidiyeköydeki profesyonel bir veri kurtarma merkezine götürdük yedek diskimizi. Bakalım yarına birşey çıkıcakmı. Pek umutlu değiliz ama servisteki arkadaş serverimizada bağlanıp diskleri kontrol etti, silinen dosyaların şifrelenmiş olduğunu söyledi. Bugün firma sahipleri suç duyurusunda bulundular , yarın bizde log dosyalarımızla birlikte emniyete gideceğiz sanırım.
Elimizde 1-2 ip adresi var loglarda gözüken, dün akşam girilmiş ama sanırım proxy kullanarak bağlanmış olacakki Amerikada çıkıyor kendisi 🙂 Şimdi son bir çare olarak adama mail atacağız bakalım ne istiyormuş. Tekrar teşekkürler.
Gönderildi : 22/12/2011 20:49
Konuyu bastan beri takip ediyorum cok uzucu bir durum. Siber tehdit ise cok kotu.Konunun akibetini buradan devam ettirirseniz sevinirim.
Saygilarimla.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Gönderildi : 23/12/2011 00:23
Konu başlatıcı
Edit..
Gönderildi : 23/12/2011 01:10
Bu durumu Microsoft ile konuştunuzmu adamın bir daha saldırmayacağı ne malum dediği gibi gerçek bir açık var ise.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Gönderildi : 23/12/2011 11:45
Merhaba Mesut Bey,
Daha önce başımıza gelen bir olayı ve çözüm yolumuzu kısaca paylaşmak istiyorum.
Artık ihtiyacımız olmadığını düşündüğümüz SQL Server Datalarını sildik ve disklerin RAID yapılarıyla oynadık.
Daha sonra içinde yedeği alınmamış önemli dataların olduğunu fark ettiğimizde birçok kurtarma programıyla denemelerimiz sonuç vermedi.
Nihayetinde, aşağıda verdiğim link kurtarıcımız oldu. Fakat RAID yapısının çözülmesi ve sonrasında verilerin kurtarılması için ön gerilen süre 20 gündü.
Vakit dar, veri önemli olunca neler yapabileceğimizi konuştuk ve 2,5 iş günü içinde verileri %100 sağlıklı şekilde tamamı kurtarılarak teslim edildi.
Bu linkten iletişim bilgilerine ulaşıp danışabilirsiniz.
Gönderildi : 23/12/2011 12:22
Bu konu reklam için açılmış tuzak
Gönderildi : 23/12/2011 15:15
Bu konu reklam için açılmış tuzak
?
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Gönderildi : 23/12/2011 15:35
Mesut bey, tahmin ettiğim firma ise güvenebilirsiniz Ömer abi 🙂 size yardımcı olamazsa başkasının yapması pek mümkün değil.
İnşallah dataları geri alabilirsiniz. Dediğim gibi handikap şifrelenmesi, çözdürürler umarım.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 23/12/2011 18:39
Data kurtarma merkezi reklamı yapıyorlar burada.
Teşkilatlanıp konu açmışlar, sözde sorunu çözüp, en iyi biziz havası verip müşteri çekecekler.
Hiçde inandırıcı bir hikaye değil.
Gönderildi : 24/12/2011 04:10
Güvenli data silme programları (wipe) ile silinmiş bir programsa kurtarma merkezleri bir işe yaramaz zaten orası bir saçmalık. sen aynı verinin üzerine 16 defa veri yazdırıyorsun. bu işlemden güya kurtarılan veri ise tamamıyla çöptür. sadece dosya adları çıkar.
Ayrıca silinen dataların boyutu nedir ? bu kadar veri bir gecede sistemden gönderilebilir mi ? bunu sorgulamak lazım.
sonicwall ve. antivirüs varken sisteme bilindik yolla girilmeli. hadi kurallar iyi değildi. ama verinin dışları çıkması için gereken süreyi hesaplayın bakalım bir gecede çıkabilirmi ?
hadi SQL çıkarılabilir. ama exchange?
Aklıma gelen Mesut Arslan ya herşeyi cihazların yazılımların kendinden yapmasını bekliyor
yada evet konu fake/reklam
Gönderildi : 24/12/2011 17:37
Konu başlatıcı
Konuyu nasıl fake'e getirdiniz anlamıyorum. Herkes sizler kadar yeteneklide olamayabilir. Ben herşeyi cihazların yapmasını beklemiyorum, bir sorunla karşılaştım ve sizinle paylaştım. Konu artık bilişim suçlarına intikal etmiş durumda. Biz suç duyurusunda bulunduk. Birşey çıkar çıkmaz bilemeyiz ama üstümüze düşeni yaptık.
Hackerin sistemimize giriş şekli ise öncelikle ipmizi bulup (bunu nasıl başardı bilemiyorum) daha sonra rdp yaparak sistemde açık olabilecek standart kullanıcıları tek tek deneyip (Örnek Sql, Muhasebe, teknik, vs. vs. gibi) sonunda birisini bularak sistemimize giriş yapmış. Daha sonrada sanıyoruzki True Crypt programı ile datalarımızı cryptlemiş. Gerek emniyet, gerekse prof. data kurtarma firmaları bize bu sistemin, hackerin belirlemiş olduğu kod olmadan kırılamayacağını söylediğinden, hackerla anlaşma yoluna gittik. Hacker sistemimize bağlanıp true crypt kurarak , almış olduğu yedek dosyasını ortaya çıkardı. Fakat burdada True Cryp için gerekli olan , 768 bit şifre kaydını tutan key dosyasının silinmiş olduğunu söyledi ve işlemi sonlanıramadı.
Şu an elimizde yedek dosyamız var fakat key dosyası olmadığından açılamıyor. Bugün sistemimizi sıfırdan kurarak mecburen 6 ay önceki datadan dönüş yaptık. Zarar büyük ama yapacak birşey yok, Buda bizim için acı bir tecrübe oldu.
Gönderildi : 25/12/2011 02:14
Mesut Arslan sende yazmışsın.
Totalde ne kadarlık bir veriden bahsediyoruz?
Önce sistemin wipe edildiğini herşeyin silindiğini söylediktena sonra şifrelenmiş vs. den bahsetmek mantıksız.
Diskin kapasite kullanımı en temel ve basit veridir.
şimdi truecriptin disk saklama yöntemine baktım iyi bir yöntemle saklanmış fakat bu durumda kalınca sisteminizde neler değişmiş? hangi yazılımlar yüklenmiş vs incelemedinizm i ?
ayrıca halen yedekleme konusundaki sorumluluğunuz mevcut. sisteminizi periyodik yedeklemelisiniz.
inceleyin
cobian backup
oo diskimage
Gönderildi : 27/12/2011 01:14
