[Çözüldü] Server 2012 R2 aşırı trafik sorunu

Selamlar ,

Sunucunuz  Firewall arkasında mı  çalışıyor  yoksa direkt  interneten açık durumda mı ? Datacenter firmanızın  size  sağladığı  trafik  durumunu  göreceğiniz  bir  panel  vb  bulunuyor mu ?

Bu arada öncelikle  sunucu üzerinde  virus  ve malware  taramasını yapın ve  sunucunun tüm windows  updatelerinin  yapıldığından emin olun.

@cumhuraltan direk internete çıkıyor herhangi bir panel yok muhtemelen onların bir paneli vardır fazla trafik çektiğini gördüklerine göre.. ama bizim tarafımızda her hangi bir panel yok ekte bilginize sunulan network trafik alanında yabancı ip adresleri çok ciddi bir trafik kullanıyor bunları durdurmam gerekiyor. Server sadece RDP olarak kullanıyoruz belki bu bilgi işimizi biraz daha kolaylaştırır

Selamlar @turkteknoloji 

Sunucunuz  direkt public  erişimine  açık ve  aynı  zamanda  Rdp kullanıyorsanız çok yanlış  bir  yapılandırma  içerisindesiniz. Rdp  erişimleri  firewall arkasında  bile  güvenli  değilken public  bir  sunucuda  açmak  oldukça  riskli. 

Sunucunuz  yüksek ihtimalle  zombi  durumunda  ve  ddos yapıyor.

Yapmanız  gerekenler  

* Sunucuda detaylı bir  zararlı yazılım  taraması  yaptırın . Virus ve  malware  taraması 

* Sunucunuzu Firewall  arkasında  çalıştırın  internet  erişimi Direkt  sunucuya  değil Firewall a  olsun.

* Rdp  erişimleriniz  mutlaka  ama  mutlaka vpn  yapılarak olsun 3389  portu public  olarak  açık OLMAMALI.

* Yeni  bir  sunucu  ise Firewall ve  vpn yapılandırması  sonrasında  sunucuyu  formatlayıp  temiz  bir  kurulum   sonrasında  hizmete  açın .

* Sunucu  marka  ve  modeli  nedir Vmware  yapılandırması  ile Vmware  üzerinde  sanal  firewall yapılandırarak Firewall  arkasında  çalıştırabililrsiniz  sunucunuz.

@cumhuraltan cevabınız için teşekkürler ama RDP arkasında firewall aktif, portlar 3389 portları değil, uzak bağlantı için vpn'den daha güvenli bankaların sistemlerindeki gibi rdp sms ile giriş mevcut yani RDP tarafımızla ilgili her hangi bir sıkıntımız yok. Tek sıkıntımız ilk mesajda gönderdiğim bazı ipler var benim sunucumdan internete çıkıyor bunları nasıl bloklaya bilirim?

Selamlar  @turkteknoloji ,

Sunucunuzda  sağlam bir  virus ve  malware  taraması yapın mümkün  ise formatlayıp  yeniden  kurun sonrasında  public  olarak  internet ortmanında  bulundurmayın mutlaka  bir  firewall arkasında  kullanının  sunucunuzu.

"  RDP arkasında firewall aktif "  bu kısmı  tam anlayamadım Firewall Rdp erişiminin  önünde  olması  gerekir  yani  önce  firewall a  uğrayıp vpn vb  güvenli  authentication  sağlandıktan sonra  rdp erişimi  olmalıdır. Rdp portunu  değiştirmek ise  sadece zamanı uzatır  herhangi bir  gücenlik  sağlamaz.  Zaten Firewall arkasında  olmadan sunucuyu  direkt  public internet  ortamında  host  ederseniz 2012 r2  üzerindeki  gücenlik açıklarından  dolayı sunucunuzun  zombi  bilgisayara  dönüşmesi  oldukça  doğal  bir  durum. Gerekli  güvenlik altyapısını  oluşturmadan zaten engelleyemezsinizi. Sunucuyu  formatlayıp yeniden  kursanız  bile  aynı  şekilde  sunucunuz  zombiye  dönüşecektir.

Merhaba,

Okumanızda fayda var

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Gönderen: @hakanuzuner

Merhaba,

Okumanızda fayda var

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Merhaba Hakan bey, yazınızı okudum bilgi paylaşımınız için çok teşekkür ederim ve gerçekten çok işime yaradı 240 mbps kullanılan trafiği 40 Mbps kadar düşürdüm ama hala server tarafında ve benim internetimi kullanan bazı zararlı yazılımlar var lisanslı antivirüs programları ile taratmama rağmen bunlarla ilgili hiçbir işlem yapamıyor ve yetersiz kalıyorlar

ekte bilgi ve incelemeniz açısından server tarafında trafiğin artışına neden olan bazı ip adresleri var bunların önüne nasıl geçebilirim?

Bence artık o makineden hayır gelmez, yani av olması önemli değil bir şekilde sisteme sızdılar ise artık onu söküp atmak çok zor, kullandığınız tüm şifreleri değiştirip yeniden bir sistem kurmanızı öneririm veya uzman birisinden destek alın. Birde tasarımınızı kontrol ettirin yani neden böyle bir atak yediniz belki tasarımda da hatalar olabilir.

Merhabalar, bu attack saldırılarının çözümünü 48 saat sonra tam yerini buldum ve durdurmayı başardım bu sorun için server tarafında aşırı yoğun işler yapan firmaların serverlerini formatlaması çok mantıklı gelmediği için virüsü durdurmak daha kolay...

bu tür işlemlerde ip adreslerine atak düzenleyen saldırıların kullandığı portları firewall tarafından blok ettikten 10 dk. sonra tüm saldırılar kesiliyor ve server tarafındaki tüm işlemleri bitiyor genelde lsass.exe 389 port üzerinden işlem yaptırıyor ve network tarafında 320 Mbps bir tarafik oluşturuyor port ve ip bloklama işlemi sonrası 40 kullanıcı aynı ayna bağlandığında dahi 152 Kbps bir trafik kullanmaya başladı.

Çözümü: trafiği kullanan uygulama seçildikten sonra orada kullanılan tüm portların firewall tarafında giriş ve çıkışları "any" olarak bloklayın, AV programınız tarafında sizin kullandığınız programların portları haricinde diğer portları da kapatın saldırılar %100 tam ve kesin olarak çözüm sağlamış olacaksınız.

Bahri Bey Amerikayı yeniden keşfetmişsiniz, dönüş için teşekkürler ama zaten bu işin doğasında tüm portlar kapalı gelir, 3389 açık olan sistemler görmüştüm ama LDAP portu dışarıya açık bir sistem çok uzun bir süredir görmemiştim. Keşke baştan tüm portların açık olduğunu söyleseydiniz.