Forum
Merhaba arkadaşlar,
Bir müşterime ait Windows 2008 R2 sunucuya bir vatandaş izinsiz olarak giriş yapıyor. Kendine kullanıcı hesabı açıp uzak masaüstü bağlantı kurup farklı yerlere brute force atak yapıyor. Adamın tek derdi atak yani sunucuya görünürde bir zarar vermiyor.
Sunucuda trojen taraması yaptım Malwarebytes ve Kaspersky ile. Buldumda ardından sistem dosyalarına bulaşmış trojenleri (backdoor) temizledim. Kullanıcı hesabınıda sildim, Administrator şifresinide değiştirdim.
Ardından bu arkadaş 2 gün sonra tekrar geldi. Malwarebytes ve Kaspersky yazılımlarınıda kaldırmış yine aynı şekilde saldırı yapıyor.
Şuan makinanın tüm portlarını internete kapattım. Tekrar gelemedi haliyle.
Şimdi benim yapmak istediğim şudur. Ben makinayı tekrardan internete açmak istiyorum. Amacım ise adamın tekniğini bulmak. Muhtemelen ben makinayı açtığımda bu adam bulaştırdığı trojen ile tekrar gelecek. Geldiğinde ise bu kişinin yapacağı tüm hareketleri takip etmek istiyorum. Örneğin C'ye girdi. Windows'a girdi abc.exe'yi çalıştırdı hello word yazdı gibi keylogger gibi (kim ne zaman ne yaptı etti) birşey arıyorum. Bu tüm adımları takip etmemin bir yolu varmı acaba. Event Viewer ile baktım ama içinden çıkamadım açıkcası.
Bu konuda bilgi sahibi arkadaşlar yardımcı olursa çok sevinirim.
+ Sunucuya RDP ile mi giriliyor, teamviewer, VNC gibi bir uygulama var mı?
+ Sunucuya bir payload mı yükleniyor?
+ Logları temizliyor mu?
Bu ihtimaller o kadar çoğaltılabilir ki!
Sebebi bulmadan çözüm de üretemezsiniz.
ne olup bittiğine dair derin analiz için fikir vermesi açısından şu makaleyi inceleyebilirsiniz :
Hafıza Analizi : https://zar.sge.gov.tr/Content/docs/hafiza_analizi.pdf
Zararlı yazılım analizi : https://zar.sge.gov.tr/Content/docs/bilgisayar_uzerinde_analiz.pdf
ve ikinci olarak
dediğiniz gibi bir keylogger tarzı bir uygulama işinizi görür ama yöneticisi yetkisi var ise bu uygulamayı kaldırmayacağı konusunda iyimserseniz.
Merhmet bey yorumunuz için çok teşekkür ederim.
Kişi rdp ile bağlanıyor. Vnc vs. kullanmıyor.
Sunucuda Dubrute isimli bir yazılım kuruyor ve bununla brute force denemeleri yapıyor.
Logları temizlediğine şahit olmadım daha öncekileri. Keylogerdan kastım tam olarak internette şifre yakalamaya çalışanlar gibi değilde daha çok bu işi nasıl yaptığına dair bilgi edinebileceğim birşey arıyorum.
Bugün dosya tarihlerine göre sunucuda bir arama yaptım. Üç adet dosya buldum bunlardan 2 tanesi bat bir tanesi reg dosyası. Dosyaları incelemek isteyen olursa diye paylaşıyorum.
http://dosya.co/pa34z3i24u9e/Arşiv.zip.html
Tavsiyelerine ihtiyacım var çok teşekkür edeirm.
Öncelikle yapının önüne Intrusion Prevention System (IPS) modülü barındıran bir firewall konumlandırın.
Açık kaynak IPS sistemine bir örnek : https://www.snort.org/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
altındaki;
sethc dizinini silin.
Sunucudaki mevcut kullanıcıları kontrol ediniz. farklı kullanıcıları sistemden silin.
Administrator hesabının ismini değiştirin.
Admin veya türevleri değil de, tamamen alakasız bir isim olmasını önemli. ve güçlü bir şifre belirleyin.
RDP'i kapatınız ya da VPN ile yapınız. secure bağlantı sağlayan bazı server-client yazılımlar da var rdp için kullanabileceğiniz.
İsterseniz benimle iletişime geçin;
sunucuya beraber bakalım.
Ardından işlettiğimiz süreçleri bu postun altına yazarız.
Hocam sağolsun başka bir arkadaşımız direk makina içeriğini taşıyıp makinayı formatlamış. Bundan dolayı iz süremedim.
Yardımlarınız için çok teşekkür ederim.