Forum

windows 2008r2 mysq...
 
Bildirimler
Hepsini Temizle

windows 2008r2 mysql virüs saldırısı

9 Yazılar
3 Üyeler
0 Reactions
1,124 Görüntüleme
(@a.yasinkilinc)
Gönderiler: 8
Active Member
Konu başlatıcı
 

merhaba,

Windows 2008r2 sp1 üzerinde mysql 5.1 veri tabanı kullanan bi programımız var bu programa dışarıdan da yaklaşık 100 kullanıcı kendi cliend programları ile erişmekte... sistem önünde Fortigate 60d güvenlik duvarı mevcut. mysql için güvenlik duvarında 3306 portumuz servere yönlenmiş durumda.  ayrıca kaspersky small Office antivirüs yüklü serverde

 

sorunuma gelince gün geçmiyor ki sisteme virüs bulaşmasın.. iki günün birinde mysql data klasörü virüslü exe dosyasıyla doluyor, sonra sistem yavaş yavaş aşağıya doğru gidiyor. taaki sistemi yeniden yükleyene kadar. önce mysql klasörü sonra sistem klasörleri yabancı exe lerle doluyor..

şimdi aklımıza 3306 my sql portunu değiştirmek geliyor, ancak bu çok zahmetli olacak. yani 100 ayrı işyeri dolaşılacak ve programlarda değişiklik yapılacak...

siz değerli ustalarımda bu sorunumun çözümü adına yardım rica ediyorum... 

 
Gönderildi : 06/04/2014 18:47

(@m-oguzhanozkurt)
Gönderiler: 1323
Noble Member
 

Merhaba ;

Bulaşan ve sorun yaratan exeleri araştırdınız mı? Gerçekten mysql portu üzerinden mi saldırı yiyorsunuz? Şubeleriniz ile iletişimde VPN ya da benzeri bir güvenli iletişim söz konusu mu? İşletim sistemi yeniden yüklendikten sonra yedeklerinizi virüs,malware vb. zararlı yazılımlara karşı taramadan geçiriyor musunuz? Server ın olduğu lokasyondaki PC sayınız nedir?

İyi Çalışmalar. 

 
Gönderildi : 07/04/2014 12:07

(@serkanates)
Gönderiler: 1323
Üye
 

Alternatif uygulama : 

İlgili sunucu üzerinde sadece mysql rolü var ise ilgili sunucuyu Linux dağıtımlarından birisi ile de değiştirebilirsiniz. Ancak virüs sorununuz bunun dışında bir konu.

 
Gönderildi : 07/04/2014 13:35

(@a.yasinkilinc)
Gönderiler: 8
Active Member
Konu başlatıcı
 

Merhaba ;

Bulaşan ve sorun yaratan exeleri araştırdınız mı? Gerçekten mysql portu üzerinden mi saldırı yiyorsunuz? Şubeleriniz ile iletişimde VPN ya da benzeri bir güvenli iletişim söz konusu mu? İşletim sistemi yeniden yüklendikten sonra yedeklerinizi virüs,malware vb. zararlı yazılımlara karşı taramadan geçiriyor musunuz? Server ın olduğu lokasyondaki PC sayınız nedir?

İyi Çalışmalar. 

 

merhaba,

şubeler arasında VPN yok. işletim sistemini yeniden kurduğumuzda sadece mysql datalarını kullanıyoruz.. hatta bir defasında dataları bile sıfırdan oluşturduk.

server üzerinde paylaşıma açılmış herhangi bir klasör yok. lokasyonda ve dışarıdan bağlananlar kendilerinde yüklü cliend programıyla  ip üzerindne mysql'e yönleniyor.. lokasyonda 20 makine var.

 sıkıntının mysql kaynaklı olduğunu şundan dolayı düşünüyorum.. yabancı exe ler ilk olarak mysql data klasöründe görülüyor daha sonra sisteme yayılıyor.. Fortigate 60d üzerinden ping cevabını da kaldırdım ama nafile..  

 
Gönderildi : 07/04/2014 14:11

(@serkanates)
Gönderiler: 1323
Üye
 

merhaba,

Windows 2008r2 sp1 üzerinde mysql 5.1 veri tabanı kullanan bi programımız var bu programa dışarıdan da yaklaşık 100 kullanıcı kendi cliend programları ile erişmekte... sistem önünde Fortigate 60d güvenlik duvarı mevcut. mysql için güvenlik duvarında 3306 portumuz servere yönlenmiş durumda.  ayrıca kaspersky small Office antivirüs yüklü serverde

 

sorunuma gelince gün geçmiyor ki sisteme virüs bulaşmasın.. iki günün birinde mysql data klasörü virüslü exe dosyasıyla doluyor, sonra sistem yavaş yavaş aşağıya doğru gidiyor. taaki sistemi yeniden yükleyene kadar. önce mysql klasörü sonra sistem klasörleri yabancı exe lerle doluyor..

şimdi aklımıza 3306 my sql portunu değiştirmek geliyor, ancak bu çok zahmetli olacak. yani 100 ayrı işyeri dolaşılacak ve programlarda değişiklik yapılacak...

siz değerli ustalarımda bu sorunumun çözümü adına yardım rica ediyorum... 

İlgili exe dosyalarını Kaspersky ile paylaştınız mı ? Onlar ne diyor ? 

 
Gönderildi : 07/04/2014 14:24

(@a.yasinkilinc)
Gönderiler: 8
Active Member
Konu başlatıcı
 

merhaba,

Windows 2008r2 sp1 üzerinde mysql 5.1 veri tabanı kullanan bi programımız var bu programa dışarıdan da yaklaşık 100 kullanıcı kendi cliend programları ile erişmekte... sistem önünde Fortigate 60d güvenlik duvarı mevcut. mysql için güvenlik duvarında 3306 portumuz servere yönlenmiş durumda.  ayrıca kaspersky small Office antivirüs yüklü serverde

 

sorunuma gelince gün geçmiyor ki sisteme virüs bulaşmasın.. iki günün birinde mysql data klasörü virüslü exe dosyasıyla doluyor, sonra sistem yavaş yavaş aşağıya doğru gidiyor. taaki sistemi yeniden yükleyene kadar. önce mysql klasörü sonra sistem klasörleri yabancı exe lerle doluyor..

şimdi aklımıza 3306 my sql portunu değiştirmek geliyor, ancak bu çok zahmetli olacak. yani 100 ayrı işyeri dolaşılacak ve programlarda değişiklik yapılacak...

siz değerli ustalarımda bu sorunumun çözümü adına yardım rica ediyorum... 

İlgili exe dosyalarını Kaspersky ile paylaştınız mı ? Onlar ne diyor ? 

 evet kaspersky çoğunu yakalıyor ama yinede büyük oranda sızıntı oluyor, yani çözümü kaspersky tarafında aramamak gerektiğini düşünüyorum...

mysql için açılmış 3306 porttan sürekli saldırıldığını düşünüyorum aslında. bu 3306 portu değiştirsek sorunumuz düzelirmi acaba. bu gibi sorun yaşayan bir arkadaşın fikirlerini paylaşmasını rica ediyorum.. 

 
Gönderildi : 07/04/2014 17:33

(@serkanates)
Gönderiler: 1323
Üye
 

1. Öncelikle işletim sisteminize ait bütün güvenlik yamalarının ve paketleri yüklü mü ? Yüklü değil ise öncelikle sistem güncellemelerini tamamlayınız.

2. Antivirüs yazılımınızın imza veritabanı güncel mi ?

2.a. Eğer güncel değil ise güncelleyerek durumu bildiriniz.

2.b. Eğer güncel ise ilgili exe dosyalarını Kaspersky firmasına ileterek analiz edilmelerini sağlayınız. 

3. MySQL portunun değiştirilmesi dışarıdan gelen bağlantılar için önlem olabilir ancak sorunun kaynağı iç yapınız olabilir.

4. Sunucunuza fiziksel erişimi denetim altında tutunuz. Harici USB bellek, disk ekleme-çıkartma işlemlerini denetleyiniz ve kontrol altına alınız. 

5. Fortigate üzerinden MySQL sunucunuza erişimi sağlayan kuralın detaylı LOG tutmasını sağlayın ve ilgili exe dosyalarının oluşturulma zamanındaki logları detaylı inceleyin.  

6. Sunucunun dış ağ erişim izinlerini denetleyiniz. İç yapınızda WSUS servisi yok ise Microsoft Update servisi ve üzerindeki diğer servislerin ihtiyacı olan dış bağlantılar dışında dış ağ ile olan trafiğini kapatınız.

 

Konu ile ilgili geri bildirimlerinizin ardından yeniden değerlendirelim.

İyi çalışmalar. 

 

 
Gönderildi : 08/04/2014 11:32

(@a.yasinkilinc)
Gönderiler: 8
Active Member
Konu başlatıcı
 

merhaba,

1- işletim sisteminin istisnasız tüm yama güncellemelerini yüklüyorum. 

2- Antivirüs veritabani da zaten otomatik olarak güncelliyor. kaspersky'a  dosya göndermemin pek etkili olacağını düşünmüyorum çünkü gelen dosyalar her defasında farklı ve de farklı tür virüs isimleri çıkartıyor. bir kısmına ise hiç ses çıkartmıyor. yani geleni temizlemek değilde gelmesini önlemek daha da iş görür kanısındayım..

3- iç yapı konusunda ise local de tüm kontrolleri yapmıştım. bir şey bulamadım...(  ama, yanlış düşünüyor da olabilirim kusura bakmayın ama localdeki makinalarda mysql yüklü değil, bunu da şundan dolayı düşünüyourm bu virüs sadece my sql 'i etkiliyor.) 

 4- sunucu denetimin altında sistem odasına benden başka girebilen kimse olmadığı gibi cd,usb disk vs tamanını dezenfekte ederek başlatıyorum tüm yenilemeleri..

***5- fortigate konusunda profesyonel  anlamda iyi değilim dışarıdan, satın aldığımız firmanın yetkili personeliyle iletişim kuracağım  bu özelliği aktif edeceğim. 

6- wsus servisi kullanmıyoruz, mysql haricinde açık olan birşey yok, windows güvenlik duvarın da sadece  3306 ve 1206 ( kullandığımız program için socket server portu ) açık 

ilginiz için ve vereceğiniz fikirler için ayrıca teşekkür ediyorum.... 

 
Gönderildi : 08/04/2014 19:34

(@serkanates)
Gönderiler: 1323
Üye
 

2- Antivirüs veritabani da zaten otomatik olarak güncelliyor. kaspersky'a  dosya göndermemin pek etkili olacağını düşünmüyorum çünkü gelen dosyalar her defasında farklı ve de farklı tür virüs isimleri çıkartıyor. bir kısmına ise hiç ses çıkartmıyor. yani geleni temizlemek değilde gelmesini önlemek daha da iş görür kanısındayım..

 

Bunu biran önce yapalım. Buradaki amacımız gelen tehdide önlem almakla birlikte ne ile karşı karşıya olduğumuzu da tespit etmek. Dosyaların farklı olması önemli değil. Siz bu dosyalardan şüpheleniyorum şeklinde (dosyaların oluşma şekli ve dizin bilgileri ile birlikte) gönderin. Bakalım analiz sonucu ne çıkacak ? İlk söylediğim zaman yapmış olsaydık sonucu şu ana kadar bilgisi gelmiş olurdu.  

 

 

***5- fortigate konusunda profesyonel  anlamda iyi değilim dışarıdan, satın aldığımız firmanın yetkili personeliyle iletişim kuracağım  bu özelliği aktif edeceğim.  

  

Tespit için bu önemli.  

 

6- wsus servisi kullanmıyoruz, mysql haricinde açık olan birşey yok, windows güvenlik duvarın da sadece  3306 ve 1206 ( kullandığımız program için socket server portu ) açık  

 

Sunucu üzerindeki yapılandırmayı kastetmiyorum. Yine fortigate üzerinden bir önceki cevabımda belirttiğim şekilde tüm gereksiz dış ağ trafiğini kısıtlayıp gözleme devam edin.

 

ilginiz için ve vereceğiniz fikirler için ayrıca teşekkür ediyorum.... 

 

İyi çalışmalar... 

 
Gönderildi : 09/04/2014 12:44

Paylaş: