Forum

Sunucuya Saldıran C...
 
Bildirimler
Hepsini Temizle

Sunucuya Saldıran Client

6 Yazılar
3 Üyeler
0 Reactions
784 Görüntüleme
(@enesaslan)
Gönderiler: 174
Reputable Member
Konu başlatıcı
 

Merhaba , Ağdaki bir bilgisayar sürekli sunucuya aşağıdaki gibi istek yapıp hata mesajı verdirmekte. 

Bağlantı yapmaya çalışan bilgisayarda sadece üretim programı kullanılıyor. Tartım yapılıp barkod okutuluyor bunun dışında işlem yapılmıyor. Kullanıcı hesabını kısıtlayıp DNS ini 12.0.0.0 yapmıştım internete çıkmaması için. 

Ortamda 2 adet sunucum var (ADC ve Firewall yok maalesef yatırım yapılmadığından.) her ikisinde de aynı durum var 192.168.1.18 deki bilgisayar bu şekilde saldırıyor. Dakikada 12 kez deniyor. Her bir denemede IpPort da değişiyor artarak. TargetUserName kısmı genellikle user bazan de administrator olarak değişiyor.  Bakmam gereken kontrol etmem gereken şeyler nelerdir acaba?

 

Teşekkürler.

 
Gönderildi : 10/05/2018 16:04

(@erkangulmez)
Gönderiler: 316
Reputable Member
 

Merhaba

 

Belli ki virus yemissiniz. Oncelikle task managerdan ne oldugunu bilmediginiz suphe ettiginiz servisleri oldurup basarili bir antivirus uygulamasini calistirin ve dahi antimalwarebytes gibi bir uygulamayla destekleyerek

 

kolay gelsin

 
Gönderildi : 10/05/2018 16:17

(@enesaslan)
Gönderiler: 174
Reputable Member
Konu başlatıcı
 

Görev Yöneticisinde ters birşey yok kullanıcı kısıtlı kullanıcı malwarebytes ile de tarattım birşey bulamadı.  Kullanıcı profilini sildim yeni kısıtlı bir profil oluşturudm şimdilik durdu. 

 
Gönderildi : 10/05/2018 18:55

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

bu tarz sorunlarda detaya inip sebebi bulmadığınız takdirde, sorun sürekli tekrarlayacaktır.

aşağıdaki adımları ve analiz süreci için netwrix ürünü incelemenizi öneririm.

- Map edilmiş paylaşımşlar
- Zamanlanmış görevler
- Windows servislerinde tanımlı hesaplar
- denetim masası/ kimlik bilgileri tarafında tanımlı hesaplar
- tarayıcılar üzerinde kalan erisim hesap bilgileri
- 3.party çözümlerde tanımlanmış, otomatik oturum açan hesaplar

https://www.netwrix.com/account_lockout_examiner.html

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/05/2018 03:26

(@enesaslan)
Gönderiler: 174
Reputable Member
Konu başlatıcı
 

İlginiz için teşekkür edeim Turan hocam. LoginType 3 olarak araştırma yapıyorum. Türk forumu olarak çözümpark haricinde bilgi alınacak forum/kaynak olmadığından yabancı kaynaklara bakıyorum ingilizcem yettiğince. Yabancı kaynaklarda sorunu yaşayanları gördüm bir çok kişi kullandığı IIS den kaynaklandığını söylemiş(ben kullanmıyorum) ya da çözümsüz kalmış. Ben de araştırıyorum söylediklerinizi de deneyeceğim .

 

Teşekkür ederim. 

 
Gönderildi : 14/05/2018 16:19

(@turancoskun)
Gönderiler: 4100
Üye
 

üstte belirttiğim adımlara ek olarak, sorunlu host tarafında offline tarama gerçekleştirebilirsiniz.

herhangi bir zararlı uygulamada buna sebep olabilir.

dr web, kaspersky veya comodo kullanılabilir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/05/2018 02:26

Paylaş: