Forum
Bildirimler
Hepsini Temizle
Windows Server
11
Yazılar
4
Üyeler
0
Reactions
1,599
Görüntüleme
Konu başlatıcı
Müşterimin Server 2012 r2 sistemie cryptolocker türevi bir virüs bulaştı. Tüm dosyaları dewar uzantısına çevirdi. SMB v1.0 ı kapatmıştım. Tüm güncellemeleri kurmuştum. Aynı bilgisayar 2. kez hacklendi. Server 2012 r2 de bu işlemlerle ilgili log bulabilirmiyim. Nereden girmiş ne yapmış gibi.
Gönderildi : 06/03/2020 22:16
Merhaba,
Dışarıya açık RDP ve benzeri bir durum var mı?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 06/03/2020 23:12
Bu gibi attackların büyük çoğunluğu rdp portundan oluyor. Teamviewer, anydesk ve bunun gibi programlardan olmuş ola bilir. En azından benim karşılaşdığım bu yüzdendi
Gönderildi : 07/03/2020 00:54
Bu cihaz domaindeyse veya shared folderı varsa bir şekilde buna sızılabilir. RDP veya başka port olmasına gerek kalmaz. Adamlar zaten sadece bir user bilgisiyle girmeye bakıyor. Yetki yükseltmek için artık MS17 gibi MS08 gibi Bluekeep gibi şeyler aramıyorlar. MS lerde zeroday olupta public yayınlanmayan bir çok LPE(Local Privilege Escalation) var. Adamlar bunlarla hak yükseltebiliyor. Bunu müşterimizin başına geldiğinde gördüm. Tüm DLP EDR EPP lerden sadece symantec tespit etti exploit çalıştırılmaya çalışıldığını.
Sizden anladığım kadarıyla sızma başka taraftan gelme. Aynı sunucu 2. defa hackleniyorsa muhtemelen varsayımlar şunlardır:
-Her kurulumda bilmeden bir servis açıyorsunuz(RDP vs.)
-File sharing i düzgün sıkılaştırmıyorsunuz.(SMBv1.0 disable etmek yetmez!)
-Makina domaindeyse domain erişim kısıtlarını koymamışsınızdır.
-2012R2 üzerinde LPE çok fazlaca mevcut cihaza Symantec gibi EDR EPP kurup korumaya almanız gerekmekte.
-Networkteki diğer cihazları detaylı bir taramadan geçirmenizde fayda var. Çünkü bir yere backdoor yerleştirilmiş ve sürekli dinlemede olma ihtimali çok yüksek.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 07/03/2020 03:03
Konu başlatıcı
RDP portu açık değil. Dün saat 16:00 gibi hacklenen sistemi 20:00 gibi tekrar ayağa kaldırdım. Fakat bu sabah 08:46 da tekrar haclendik. Yine cryptolocker yedik. 1433 nolu port üzerinden VPN bağlantısı kuruyoruz. Bununla ilgili nasıl bir çözüm üretebilirim. Kurulum sonrası tam bir windows update yapmam SMB v 1.0 ı kapatmam yeterli olurmu. Antivirüs ne tavsiye edersiniz. (Server 2012 r2)
Gönderildi : 07/03/2020 11:20
1433 portu her yere açık mı?
Eğer tekrar ve tekrar atak yiyorsanız muhtemel içeride bir yerde gizli bir trojan var, mevcut sistem envanterini gözden geçirin.
İlk olarak dışarıdan içeriye tüm her şeyi kapatın, benzer şekilde içeriden de dışarıya, yani eğer içeride bir trojan vb bekliyor ise interneti bulduğunda yine bir şekilde bir port açıyor olabilir.
Sonra sistemi fiziksel sunucu temelinde yeniden kurun, yedekten dönmeyin. Sunucu biso update, sonra sıfır OS kurun, tüm yamaları yükleyin, Symantec, Mcafee, Trend Micro ve benzeri kurumsal bir AV yükleyin.
Eğer bir veri yedekten dönülecek ise sadece SQL veri tabanı gibi minimum verileri dönün, file server vs içerikleri önemli.
Ama daha önemlisi bir danışmanlık alın bu iş çünkü uzmanlık gerektiren bir iştir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/03/2020 00:16
Konu başlatıcı
@hakanuzuner İlginize teşekkür ediyorum. Müşterimle bu dediklerinizi mutlaka paylaşacağım. Ama sektör olarak biz bakım destek anlaşmaları yaparken çok zorlanırken başka bir destek alımı yapmaya firmalar çok yanaşmayacaklardır. Nebim yazılım bayiliği yapıyorum. Bu tarz işlemler için aslında donanımsal bir çözüm bulursam onu müşterilere aldırmak istiyorum. Satışını yaptığınız desteğini verdiğiniz donanımsal çözümler için sizden mesaj bekliyorum Hakan bey.
Gönderildi : 08/03/2020 13:35
Böyle bir donanım ne yazık ki yok, yani ne firewall ne başka bir donanım veya yazılım bu iş için kesin çözüm değil ancak müşterinizi bu konuda belki ikna edebiliriz. Yani temel seviyede güvenlik önlemleri alması lazım.
VPN, SSL, 2FA, Audit, Segmentasyon, VLAN, DLP vb. Tabiki bu maddeler uzar gider ama gücü hangisine yetiyor ise en azından onu yapmasında fayda var.
Eğer müşterinizin bütçesi var ise yardımcı oluruz aksi halde forum üzerinden devam.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/03/2020 22:41
Konu başlatıcı
@hakanuzuner Hakan bey burada müşterinin ayırması gereken bütçe ne kadardır. Belirttiğiniz çözümlere göre fiyatlandırma yapabilirseniz ben müşteriye teklif götürürüm. Tek bu müşteri için değil diğer müşterilerime de bu tekliflerle giderim. Dönüşler mutlaka olur. Bizim bölgemiz için güvenlik paketleri halen çok yabancı bir kavram. Müşteriler antivirüsün bile gereksiz olduğunu düşünüyorlar çünkü bilgisayarı sadece kendilerinin kullandığını ve porno sitelere girmediklerinden virüste bu bilgisayarlara bulaşmaz gibi bir düşünceleri var. Sizden ricam yukarıda belirttiğiniz kurulum veya hizmetleri fiyatlandırıp ugur(at).vangolu com mail adresime atmanız
Gönderildi : 08/03/2020 23:03
Merhaba,
Uygun olunca iletirim.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/03/2020 23:05
