Forum

server 2003 hacker
 
Bildirimler
Hepsini Temizle

server 2003 hacker

10 Yazılar
6 Üyeler
0 Reactions
575 Görüntüleme
(@erdoganbat)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

Server 2003 ana maınaya biri girip assagıdaki notu bırakmıs


Server tum guncellemeleri yapılmıs durumda .Dısarıya terminal server acık


Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak
serverinize girdim ve kayda değer  bulduğum bilgilerinizin  yedeklerini şifreleyerek aldım ve
orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda  
anlaşmak üzere bana [email protected] adresine
serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.


Bu Şahız içeri nasıl girmiştir .Bu konuda tecrubesi ve fikri olan varmı


Saygılarımla Erdoğan 


 

 
Gönderildi : 10/05/2012 13:45

(@evrenbanger)
Gönderiler: 2439
Üye
 

Peki gercekten denildigi sekilde birseyler varmi ? TS disariya acikmi ve antiviru, firewall gibi seyler ayarlimi ?

 
Gönderildi : 10/05/2012 13:48

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Firewall loglarınızdan rdp yapan IP adreslerini kontrol edin.

Windows loglarında 528 kodu logon:10 ise altında rdp yapan IP adresi yazar.

Verilerinizi kontrol ettiniz mi? gerçek mi dediği?

 

 
Gönderildi : 10/05/2012 13:49

(@OnurPULGAT)
Gönderiler: 136
Estimable Member
 

Bizim terminal serverların güvenliğini isa server ile sağlamaktayım fakat anlatacağım tarz bir güvenliği artık modemlerde bile yapabiliyorsun. Terminal servera wandan bağlanmak isteyenler için:  ilgili servis sağlayıcıya static ip tanımlatıyorsun sonra firewalldan wan dan lana şekilde bir kural tanımlıyorsun. Bu kuralda static ip üzerinden 3389 portundan geldiğinde terminal serverın local ipsine yönlendiriyorsun. Böylece dışardan bir kimse bağlanamıyor.

 Sizde böyle bir yapı mevcutmuydu ? Yoksa ipnizi bulan herkez bağlanabilir durumdamıydı ?  

 
Gönderildi : 10/05/2012 13:51

(@erdoganbat)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

veriler yok Steganos Backup 2012 program kullanmıs


d backup seklinde klasor var dataları sanırım onun içinde

administrator şifresi 8 harfden olusuyordu
Friwall olarak ayriyetten bir urun yok.Adsl var onunde 3389 portu acıksadece


kendine user acmıs _steganos_backup_ adında


 

 
Gönderildi : 10/05/2012 13:54

(@erdoganbat)
Gönderiler: 61
Estimable Member
Konu başlatıcı
 

sabit ip ve direk giriliyordu

 
Gönderildi : 10/05/2012 13:56

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Modem loglarını kontrol edin.

 
Gönderildi : 10/05/2012 14:22

(@OnurPULGAT)
Gönderiler: 136
Estimable Member
 

Serverdaki verileri geri getirmeyi denemelisin. Öncelikle sistemde sql datası varmıydı ? Yoksa sadece dosyalarınızı mı almış ? 

 
Gönderildi : 10/05/2012 14:24

(@RamazanSivri)
Gönderiler: 49
Trusted Member
 

windows 2003 de muhtemelen senin local administrator kullanıcın şifreli değildi giriş yolu bu olsa gerek,yada firma dışında bir yerden bağlandıysan keylogger tarzı programla kullanıcı adı ve şifreni almış olabilirler.en güzeli loglardan rdp yapan ip adresini öğrenebilir yasal olarak başvuru yapmanı tavsiye ederim.dataları erd commander tarzı programla dosyaların özlük haklarını sıfırlıyabilirsin.

 
Gönderildi : 10/05/2012 15:05

(@hamdierdem)
Gönderiler: 2
New Member
 

arkadaşlar,

aynı kişinin saldırısına 17 temmuz itibari ile biz de uğradık maalesef, sorunu Erdoğan beyler sorunu çözebilmi acaba?

saygılar

hamdi erdem 

 
Gönderildi : 18/07/2012 17:46

Paylaş: