Forum
Arkadaşlar merhaba.bugün sabah şirkete geldik ,server deki paylaşıma açık klasörlerin boş olduğunu ve içine bir txt dosyası olduğunu gördük.bu dosyada , " bilgilerinizin kriptolayıp sakladık.eğer geri gelmesini isterseniz verdiğim maile irtibat kurun.ve sonra irtibat da
merhaba.xxxxxxxx sanırım.Benim kim olduğum çok fazla önemli değil.nottaki gibi server verileriniz yedekler alýndýktan sonra gutman metodu kullanýlarak silinmiþtir.eðer tarafýma 3000$ ödeme yapýlýrsa 3-4 saat içerisinde tüm datalarýnýzý geri yükleyerek sistemlerinize girmekte kullandýðým açýðý da kapatarak serverinizi teslim edebilirim.iyi günler.
bu mail gönderildi.tabi yedeklerimizden geri dönerek çalışmaya devam ettik. mail de dikkatimi çeken bu açığıda kapatarak demişler.yani bizim update lerle alamadığımız daha ne açıklar varki onu anlamadım..acil durum planı olarak server i internet erişimine kapayıp şifrelerini değiştirdik.ayrıca modemi de aynı şekilde.sizce ne gib i yamalarla devam edelim.
bir adet utm firewall almanız gerekli 🙂
elinizde yalnızca modem olduğundan modemler üzerindeki basit güvenlik duvarları interaktif saldırıları algılayamazlar. bunlar üzerinde yapabileceğiniz tek ayar geç veya kal şeklindedir. ama şu koşulda kal, şu koşulda geç diyemezsiniz.
bu gibi işlemleri ids/ips destekli cihazlarla yapabilirsiniz. atak algılama/atak önleme. mesela aynı paketten 5 tane gelirse 1 saat boyunca kes diyebilirsiniz.
arkadaşın söylediği gibi bunlar utm cihazlarında bulunmaktadır.
Peki serverin internet erişimini kesmek geçici çözüm olabilirmi ?
Networkün internete açık olduğu sürece bu çözüm çok faydalı olmayacaktır.Arkadaşların tavsiye ettiği gibi İds/İps destekli bir firewall alarak network güvenliğini sağlaman uzun vadede faydalı olacaktır.
saldırılar genelde dışarıdan içeri yönlü olduğu için internet erişimini kesmek yerine dışarıdan içeri yönlü açık port bırakmamak gerekir. bu şekilde basic firewall üzerinde tüm paketleri dışarıda bırakıyor olursunuz. bu bir çözümdür. ama dışarıdan ulaşılacaksa her türlü daha sağlam bir koruma gerekir.
Bu sorun son zamanlarda zıplamaya başladı. Ne biçim bir adli bilişim ve telekom daire başkanlığı vardır ki, önlem alınmıyor 🙁
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Forumda ve internette çok bahsedilmeye başladı. Dışarıdan sunucunuza uzak masaüstü bağlantısı ( TCP 3389) açık mı? Aynı port numarası ile mi açık? Geri bildirim yapar mısınız.
3389 ile açık idi ama şimdi kapattım.serverinde ağ geçidiyle oynayarak internet erişimini kestim.
Daha önce okuduğum mesajlarda da remote desktop bağlantısının açık olduğunu yazmışlar. Bu adamlar sunucuya RDP ile bağlanıp, local admin hesapları ile sunuculara eriştiklerini düşünüyorum. Dolayısı ile erişimlerde 3389 değilde farklı portlar kullanmak (rdp servisinin portunu değiştirmek zorunda değilsiniz. Modem-Firewall üzerinden PAT yapılarak bu yapılabilir), RDP bağlantılarını sadece belirli IP'lere açmak ve local admin hesaplarına mutlaka şifre koyarak önlemler alınabilir.
2008 server dada bu açık varmı ?yani onada bu şekilde eribilirlermi ?
Arkadaşlar merhaba.bugün sabah şirkete geldik ,server deki paylaşıma açık klasörlerin boş olduğunu ve içine bir txt dosyası olduğunu gördük.bu dosyada , " bilgilerinizin kriptolayıp sakladık.eğer geri gelmesini isterseniz verdiğim maile irtibat kurun.ve sonra irtibat da
merhaba.xxxxxxxx sanırım.Benim kim olduğum çok fazla önemli değil.nottaki gibi server verileriniz yedekler alýndýktan sonra gutman metodu kullanýlarak silinmiþtir.eðer tarafýma 3000$ ödeme yapýlýrsa 3-4 saat içerisinde tüm datalarýnýzý geri yükleyerek sistemlerinize girmekte kullandýðým açýðý da kapatarak serverinizi teslim edebilirim.iyi günler.
bu mail gönderildi.tabi yedeklerimizden geri dönerek çalışmaya devam ettik. mail de dikkatimi çeken bu açığıda kapatarak demişler.yani bizim update lerle alamadığımız daha ne açıklar varki onu anlamadım..acil durum planı olarak server i internet erişimine kapayıp şifrelerini değiştirdik.ayrıca modemi de aynı şekilde.sizce ne gib i yamalarla devam edelim.
Merhabalar aynı olay 21.08.2012 de müşterimin serverında da meydana geldi. Ancak onlar sizin kadar şanslı değiller. Son alınan yedek hasbelkader mart ayında alınmış Vietnamda bir şahısa Western Union ile aynı miktardaki parayı istiyorlar. Sizin de sisteminiz de Logo Tiger, Go vb bir muhasebe sistemi kurulumuydu. Burda sistem 2003 Tiger Enterprise yüklü
Networkün internete açık olduğu sürece bu çözüm çok faydalı olmayacaktır.Arkadaşların tavsiye ettiği gibi İds/İps destekli bir firewall alarak network güvenliğini sağlaman uzun vadede faydalı olacaktır.
serverin internete çıkış ayarlarıyla oynaman hiç bişeyi değiştirmez..