Forum
Merhaba olay görüntüleyicisinde resimdeki durumu gördüm. Bizde olmayan kullanıcı hesaplarının bağlanmaya çalıştıkları fakat hatalı, başarısız log kayıtları yer almaktadır. Bu tarzda çokfazla değişik isimlerle kullanıcı adları mevcut.
Bunu bir saldırı olarak değerlendirebilir miyim?
Merhaba,
Evet atak olarak algılayabilirsiniz. Bunun için erişim sağlayan port ve yapınızı gözden geçirmenizi tavsiye ederim.
1-) Peki bu atakların nerden geldiğini nasıl bulabilirim acaba ? Fw olarak pfsense kullanıyoruz.
2–) Ayrıca dışardan gelen bağlantılarda uzaktan masaüstü hizmetleri hizmeti portları kapalı . Bu olay kaydı nasıl bir atakla kayda düşüyor olabilir?
merhaba,
ilk soru, eventlog içerisinde ağ bilgileri kısmında, hangi adresten denemenin yapıldığını görebilirsiniz.
ikinci soru, erişim denemeleri/brute force ataklar sadece rdp üzerinden gerçekleşmez, ağınızda bulunan bir host üzerindende gerçekleştirilebilir.
detaylandırmak için audit toolardan birini kullanabilirsiniz. bkz. netwrix, manageengine vb.
bu tarz loglarda bilgi almak için referans adresteki çözümü yapınıza uyarlayabilirsiniz.
https://www.virtualizationhowto.com/2016/06/get-notified-of-failed-windows-login-attempts/
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
merhaba,
ilk soru, eventlog içerisinde ağ bilgileri kısmında, hangi adresten denemenin yapıldığını görebilirsiniz.
ikinci soru, erişim denemeleri/brute force ataklar sadece rdp üzerinden gerçekleşmez, ağınızda bulunan bir host üzerindende gerçekleştirilebilir.
detaylandırmak için audit toolardan birini kullanabilirsiniz. bkz. netwrix, manageengine vb.
bu tarz loglarda bilgi almak için referans adresteki çözümü yapınıza uyarlayabilirsiniz.
https://www.virtualizationhowto.com/2016/06/get-notified-of-failed-windows-login-attempts/
ilk soru için baktığımda ağ bilgileri kısmı boş gösteriyor.
ikinci soru için detaylandırma işlemi için manageengine kurdum. Fakat burdan da detaylandırdım ama işleme ait birşey göremedim.
ağ bilgileri kısmına ait ekran görüntüsü paylaşıyorum.
Merhaba,
Aşağıdaki adresten dışa açık portlarınızı kontrol ediniz.
https://www.ipfingerprints.com/portscan.php
Rdesktop üzerinden brute force saldırısına maruz kalıyorsunuz eğer vpn kullanıyorsanız vpn kullanıcıların loglarına bakmanızı tavsiye ederim vpn üzerinden bağlantı kurup local ağ üzerinden saldırı alabilirsiniz ek local üzerinde birisi size rdp hack yapmaya çalışabilir ipscan yaparak sisteminizde yabancı bir client olup olmadığını kontrol ediniz.
wireshark üzerinden network trafiğini dinleyebilirsiniz.
ilk soru için baktığımda ağ bilgileri kısmı boş gösteriyor.
ikinci soru için detaylandırma işlemi için manageengine kurdum. Fakat burdan da detaylandırdım ama işleme ait birşey göremedim.
ntlm ile doğrulama yaptırdığınız herhangi bir servisiniz mevcut mu ? bkz. firewall, proxy vb.
Erdem bey'in belirttiği gibi public/local/vpn trafiğini kontrol altına alın, gereksiz kaynakların ilgile host'a erişimini engelleyin.
local network tarafında yabancı hostların dahil olmasını engelleyin. bkz. 802.1x vb.
devamında ilgili host üzerinde hala benzer loglar mevcut ise, wireshark ile trafiği dinleyerek çözüme gidebilirsiniz.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Verdiğiniz detaylı bilgiler için teşekkürler. Sorunumuz çözüldü. Son olarak wireshark ile trafik dinlemesi yaparak ip leri not aldım. Hepsi farklı ülkelere ait yabancı ip lerden oluşuyordu. Yerel ağımızdaki clientleri ve fw izerinden lan ve dışarıdan gelen bağlantıları incelediğimde sorunun dışarıya açık bir portumuzdan kaynaklandığını gördüm. Kapatıp ardından bloklayınca bu saldırıların durduğunu farkettim.
Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.
https://www.cozumpark.com/blogs/gvenlik/archive/2010/04/18/hping-kullanarak-a-ke-if-al-malar.aspx
https://www.cozumpark.com/blogs/gvenlik/archive/2013/01/20/bilgi-g-venli-inde-s-zma-testleri.aspx
https://www.cozumpark.com/forums/thread/492.aspx
bu alan geniş CEH ve güvenlik başlığı altında ki makalelere bakıp öğrenebilirsiniz.
Dışarıya direkt RDP kesinlikle açmayın.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.
esasında saldırının nasıl yapıldığını sizin söylemeniz gerekir.
mesela hangi port ile servis,uygulama ve os public tarafta açıktı ?
içerden rdp vb. bir arayüz ile erişimi test ettiğinize, nat reflection kullanmazsanız, portu kapalı görebilirsiniz.
port güvenliğinizden başlangıç seviyesinde emin olmak istiyorsanız, düzenli olarak nmap vb. bir tool ile açık portlarınızı kontrol edin.
parola denemeleri için birçok tool mevcut, port/protokol/servise göre değişiklik gösterebiliyor. bkz. hydra
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.
esasında saldırının nasıl yapıldığını sizin söylemeniz gerekir.
mesela hangi port ile servis,uygulama ve os public tarafta açıktı ?
içerden rdp vb. bir arayüz ile erişimi test ettiğinize, nat reflection kullanmazsanız, portu kapalı görebilirsiniz.
port güvenliğinizden başlangıç seviyesinde emin olmak istiyorsanız, düzenli olarak nmap vb. bir tool ile açık portlarınızı kontrol edin.
parola denemeleri için birçok tool mevcut, port/protokol/servise göre değişiklik gösterebiliyor. bkz. hydra
Bir ara Öncesinde ihtiyaç dahilinde dışardan erişim ve ihtiyaç dolayısıyla kısa süreliğine Fw de wan üzerinden 3389 portuna izin verip nat üzerinden servere yönlendirme yapmıştım. Fakat kısa süren bu işlem sonrasında işimiz bittiğinde wan üzerinden 3389 portumuzu tekrar devredışı yapmıştım fakat nat üzerinden yönlendirmeyi de iptal etmememiştim. Bunu da ihtiyaç duyulduğunda sadece wan üzerinden portu aktifleştirerek kullanacaktım. Denemesini de portu kapattıktan sonra yine dışardan kullandığım bilgisayar üzerinden mstsc kullanarak yapmıştım, devredışı bıraktıktan sonra zaten girmemişti. O günden beri öylece duruyordu ta ki son bu işleme fark edene kadar. Son bu işlemde de aslında nat üzerindeki yönlendirmeyi halen iptal etmedim aslında. wan da ki belirttiğim portu komple silip yeniden bloklayıp ekleyince saldırının durduğunu gördüm. İçerdeki bağlantıya gelince; Burdaki bağlantılarım daimi olarak her zaman kullanılıyordu ve devam ediyor.
Diğer açıklamalarda belirttiğiniz durumları da anladım. Tavsiyeleriniz olursa uygulamaya hazırım. Verdiğiniz bilgiler için teşekkürler.