Forum

Windows Server 2016...
 
Bildirimler
Hepsini Temizle

Windows Server 2016 kendiliğinde oturum açan Guest hesabı

12 Yazılar
7 Üyeler
0 Reactions
2,565 Görüntüleme
(@MehmetOzdemir)
Gönderiler: 58
Estimable Member
Konu başlatıcı
 

Selam arkadaşlar,

Windows Server 2016 kullanıyoruz. Bazen bağlı kullanıcıları kontrol etmek için baktığımda Guest kullanıcısının orutum açmış olduğunu görüyorum. Ekranına bağlandığımda sihost.exe nin bir hata mesajı ekranda oluyor. kullancııları görüntüleme ekranı açık oluyor ve 2 adet DOS ekranında yazılar kayıyor. Bu normal midir?

Ekran görseli aşağıdaki gibidir.

 

[url= https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g" target="_blank">https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g"/> [/img][/url]

Guest Hesabındaki açık görevlerde aşağıdaki gibi.

[url= https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g" target="_blank">https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g"/> [/img][/url]

 

 
Gönderildi : 07/05/2018 19:39

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 08/05/2018 07:39

(@MehmetOzdemir)
Gönderiler: 58
Estimable Member
Konu başlatıcı
 

Öncelikle yanıtınız için teşekkür ederim. 

Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.

  1. Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
  2. Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)

Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında. 

 

 

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

 
Gönderildi : 08/05/2018 13:00

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar Mehmet Bey ;

 

Rdp erişimi açık mı sunucuda?

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 08/05/2018 15:18

(@huseyinaltin)
Gönderiler: 169
Estimable Member
 

Öncelikle yanıtınız için teşekkür ederim. 

Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.

  1. Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
  2. Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)

Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında. 

 

 

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

 

Merhaba,

 

Çalışan servisleri kontrol etmenizde fayda var. Bunun için Sysinternals Tools kullanabilirsiniz. Aşağıdaki video bu konuda size gerekli bilgileri verebilir.

 

https://www.youtube.com/watch?v=80vfTA9LrBM

 

https://docs.microsoft.com/en-us/sysinternals/

 

İyi günler.

 
Gönderildi : 08/05/2018 17:54

(@MehmetOzdemir)
Gönderiler: 58
Estimable Member
Konu başlatıcı
 

Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.

 
Gönderildi : 08/05/2018 19:12

(@erdemyaglikara)
Gönderiler: 1165
Noble Member
 

Merhaba,

3389 Portu direk olarak dışa açıksa bu tarz saldırılara maruz kalmanız oldukça yüksek eğer ortamda bir utm cihazı var ise ssl vpn'i aktifleştirmenizi tavsiye ederim.

 

 
Gönderildi : 08/05/2018 19:38

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar ;

 

Değişen birşey olmayacaktır  yine sunucuyu hackleyıp sisteminize  bağlanacak. 2 alternatifiniz var rdp yapan ip adresleri  statik ise  sadece o ip  adreslerine  rdp yetkisi vereceksiniz veya Client-to-Site Vpn ( SSL olur, Ipsec olur, L2TP olur ) ile  kullanıcılarınız  sunucunuza  bağlanacaklar. Olayın vehametini farketmeniz  adına  söylüyorum oldukça  şanslısınız  sadece mining  yazılımı çalıştırmışlar bütün datalarınızı şifreleyip sizden  ciddi  meblağlarda fidye de  isteyebilirlerdi, şifrelenmiş  dosyaları açmak için.

 

Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 09/05/2018 04:58

(@MehmetOzdemir)
Gönderiler: 58
Estimable Member
Konu başlatıcı
 

Firewall'a IP Filter koydum en kesin çözüm.

Teşekkürler yanıtlayan tüm arkadaşlara.

 
Gönderildi : 09/05/2018 13:16

(@ahmetceylan)
Gönderiler: 103
Estimable Member
 

Merhaba;

ip filter fikri güzel ama yetersiz sunucularınız Cryptolocker'a maruz kalma ihtimalleri yakın. Size önerim Symantec EP sisteme kurup taratmanızdır aynı şey başımıza geldi ne kadar block koyarsasanız koyun nete çıkışı açık olan bir ip bulup ordan çıkmaya çalışıyor. Bu tip virüslerde eset hiç güven vermiyor zaten engellemiyorda.

 
Gönderildi : 09/05/2018 14:19

(@sinanosman)
Gönderiler: 89
Estimable Member
 

Firewall'a IP Filter koydum en kesin çözüm.

Teşekkürler yanıtlayan tüm arkadaşlara.

 

Merhaba,

3389 olan RDP portunuzu başka bir portla değiştirmenizi öneririm. Ayrıca saldırıya maruz kaldığınız için IP adreslerinizi değiştirmenizde de fayda var.

 

 
Gönderildi : 09/05/2018 20:44

(@riza-sahan)
Gönderiler: 18032
_
 

Port numarası değiştirme biraz eskide kaldı. Artık çok akıllı sistemler ile saldırılar olmakta. Açık olan portları bulmak çok kolay. En güzeli ssl vpn ile kullanıcılara rdp yaptırmak. Ayrıca sistemlerin güncel ve desteklerinin devamı olan sistemlerin kullanılması önemli.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 13/05/2018 02:57

Paylaş: