Forum

Hacklenmiş Bir Yapı...
 
Bildirimler
Hepsini Temizle

Hacklenmiş Bir Yapı ( Pdc, Adc, Exchange 2010, Qnap ) Fikir Beyanı

5 Yazılar
3 Üyeler
0 Reactions
620 Görüntüleme
(@tunconur)
Gönderiler: 62
Estimable Member
Konu başlatıcı
 

Herkese selamlar,

Desteğini vermekte olduğum bir firma 17.01.2013 tarihinde 01:00 sularında saldırıya uğradı. Saldıran arkadaş sistem önünde duran sonicwall ' un şifresini bilen bir arkadaşmış ki, 3 tane sunucumu ve yedeklerimi tuttuğum replike çalışan 2 Qnap'ın da içini boşaltmış.

Yapıda primary dc,  additional dc ve Exchange 2010 bulunmaktaydı.
Primary dc ve exchange sistem dosyaları komple silinmiş server'a hiçbir şekilde ulaşılmıyor. ADC üzerinde belli bir veriyi kurtardım. Primary dc üzerinde kullanıcıları el ile sildiği için adc ile replike olup kullanıcıları adc üzerinden de silmiş.

Uzatmadan sonuca ve sorularıma gelmek istiyorum. Adrestore.net ile kullanıcılarımı kurtardım dc yapımı tekrar ayağa kaldırdım. Şuan domain tarafında sıkıntım yok gibi gözüküyor. Merak eden arkadaşlara bir yazı hazırlayabilirim.

Sorularıma gelince,
Exchange üzerinden sadece database'i alabildim. Saldıran kişi bütün yedeklerimide tahrip etmiş. Database'in tahrip olup olmadığını şuan için bilmiyorum.

Mail hizmetini şuan dışarıya yönlendirdim, yapıda 150 client mevcut.

1. Exchange kurulumu için nasıl bir yol izlemeliyim ? Exchange'i sıfırdan kurmak durumundayım gibi gözüküyor.
2. Exchange ' i sıfırdan kurduğum zaman domain'den çekilen kullanıcılar sorun yaratır mı ?
3. Mailbox databasein tahrip olmadığını düşünürsek sunucuya mount etmem ve stabilliğini sağlamam ne kadar mümkün.

Not : Exchange sunucumu last known good configuration'da açıldığı zaman Process1_initalizing mavi ekranına düşüyor. Bu mavi ekranda bootsec dosyası ve .stl uzantılardan kaynaklandığını biliyorum fakat yaptığım hiçbir işlem işe yaramadı. İnternetten araştırdığım kadar sunucu üzerinde işlem yaptım ancak yine nafile. 
Normal olarak başlattığımda ise recovery ekranına düşüp boş bir pop-up ' ta çarpı ikonu çıkıyor.

Yardımlarınızı bekliyorum. 

 
Gönderildi : 18/01/2013 15:15

(@ersincan)
Gönderiler: 975
Illustrious Member
 

Öncelikli olarak geçmiş olsun,

1. Active Directory deki bütün kayıtları kurtarabildiyseniz Exchange serverınızı Recovery Mode ile yeniden kurmayı deneyebilirsiniz. Böylelikle elinizdeki database bozulmamışsa mount etme işlemi gerçekleşebilir.

2. Yukarıdaki yöntemin zaman alacağını düşünüyorsanız elinizdeki databaseden maillerinizi çeşitli yazılımlarla pst ye aktarabilirsiniz. Ontrack® PowerControls yazılımının eski sürümünü kullanmış ve beğenmiştim. Daha sonra bu pst leri exchange serverınıza import edebilirsiniz.

Kolay Gelsin

 
Gönderildi : 18/01/2013 15:50

(@tunconur)
Gönderiler: 62
Estimable Member
Konu başlatıcı
 

Ersin Bey cevabınız için teşekkür ederim.

Fakat daha farklı sorunlar oluşmaya başladı. Administrator hesabım ile sistemde ne işlem yaparsam yapayım. Access is denied hatası alıyorum.

Sistemdeki bütün kayıtları silmem gerekiyor. Durum, işin içinden çıkılamaz bir hal aldı.

 

 
Gönderildi : 21/01/2013 00:39

(@bilgehanpoyraz)
Gönderiler: 809
Illustrious Member
 

Yıllardır herkese inat kartuş sistemleri savunurum. Kartuş sistemler bu yüzden extra güvenlik ve esneklik sağlıyor.

üstad geçmiş olsun, hiçmi kartuş olmadı ortamda? belki oradan dönüş olabilirdi. Bahsettiğin şekilde ise bence tüm yapıyı sıfırdan kurup yeniden başla. mail akışı gibi işlemler en azından durmasın. sonar data recovery işlemlerine devam edilebilir bir yandan.

 

Allah kolaylık versin...

 
Gönderildi : 21/01/2013 01:02

(@ersincan)
Gönderiler: 975
Illustrious Member
 

Bilgehan Hocama katılmamak elde değil bu durumda.

 
Gönderildi : 21/01/2013 03:18

Paylaş: