Forum
Bildirimler
Hepsini Temizle
Windows Server
8
Yazılar
2
Üyeler
0
Likes
407
Görüntüleme
Konu başlatıcı
Arkadaşlar iyi günler aranıza yeni katıldım.Yardımınıza acil olarak ihtiyacım var.
windows 2008 iss server kurulu.Sürekli olarak admin şifresi ve portlar deneniyor.Benim yapmak istediğim belli bir denemeden sonra kullanıcı login olamaz ise kullanılan ip yi otomatik olarak bloklamak.Yardımlarını bekliyorum.
Gönderildi : 13/09/2011 01:06
Merhaba Hamit bey, bu pek çok dışa açık web server için normal bir durum olup çoğu kez size özel bir eylem değildir, bunu engellemenin en iyi yolu bir Firewall satın almanızdır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 13/09/2011 11:59
Konu başlatıcı
Hakan hocam kurusa bakmayın. Sağlık problemlerinden dolayı bir süre internetten ve iş yerimden uzak kaldım.
Güvenlik duvarı olarak Fortigate 1000A kullanıyoruz.Serverlarımız DMZ bacağında ve policyler tanımlı.Wan ve Localle yalıtılmış durumda.Açık olan portlarımız Ftp, Http, Https, Ssh, Ms-Sql, Mysql, Dns.
Esx server üzerinde win 2008R2 x64 enterpirise kullanıyoruz, tüm updateler güncel, güvenlik duvarı aktifti. Ayrıca Kaspersky virus koruma vardı üzerinde.Loglar içinde elimizde FortiAnalyzer 800B var.Aşağıda sorunla ilgili loglarıda yolluyorum.
| Log Number | 7 |
|---|---|
| Last Activity | 2011-09-19 09:26:20 |
| Type | ips |
| Level | alert |
| Source | 79.123.13 |
| Destination | 78.160.11 |
| Attack ID | 11969 |
| Severity | high |
| Status | dropped |
| Message | misc: MS.PNG.Buffer.Overflow |
| Source Port | 80 |
| Destination Port | 2719 |
| Source Interface | port3 |
| Destination Interface | port2 |
| Protocol | 6 |
| Policy ID | 112 |
| Service | 2719/tcp |
| Count | 1 |
| User | N/A |
| VDom | root |
| Timestamp | 2011-09-19 09:25:18 |
| Subtype | signature |
| Log ID | 16384 |
| Group | N/A |
| Device ID |
********2606500743
|
| misc: MS.PNG.Buffer.Overflow |
hata iletisini araştırdığımızda 2008 de media playerden kaynaklanan bir açık olgu söyleniyor.Ama bizim sistemde media player yok zaten gerekli güncellemelerin hepside var.İlk mesajı yazdığımızda bizim makinamız ip değiştirilerek deneniyordu.Şifrelerimiz komplex olduğu halde bulundu.Şimdi aynı olay bizim makinamızdan başka serverlara doğru oluyor.Serverı yeniden kurduk.Temiz kodlarla yayına açtık gene olmadı.Kodları gönderdiğimiz makinada trojen olarabilir, o kaynak yapabilir diye düşündük tarattık yine bişey yok.En az 4-5 virus korumada tarandı.Sayfamızı google ve norton ile taradık nafile.Sayfada sorun yok diyor.
| 8 | 2011-09-19 09:26:20 | ips | alert | 79.123.** | 88.231.26. | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2446 | port3 | port2 | 6 | 112 | 2446/tcp | 1 | N/A | root | 2011-09-19 09:25:18 | signature | |||
| 9 | 2011-09-19 09:26:20 | ips | alert | 79.123.** | 78.160.110. | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2711 | port3 | port2 | 6 | 112 | 2711/tcp | 1 | N/A | root | 2011-09-19 09:25:18 | signature | |||
| 10 | 2011-09-19 09:26:19 | ips | alert | 79.123.** | 78.160.110. | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2700 | port3 | port2 | 6 | 112 | 2700/tcp | 1 | N/A | root | 2011-09-19 09:25:18 | signature | |||
| 11 | 2011-09-19 09:26:19 | ips | alert | 79.123.** | 78.160.110. | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2720 | port3 | port2 | 6 | 112 | 2720/tcp | 1 | N/A | root | 2011-09-19 09:25:17 | signature | |||
| 12 | 2011-09-19 09:26:19 | ips | alert | 79.123.** | 78.160.110. | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2712 | port3 | port2 | 6 | 112 | 2712/tcp | 1 | N/A | root | 2011-09-19 09:25:17 | signature | |||
| 13 | 2011-09-19 09:26:18 | ips | alert | 79.123.** | 78.160.110.*** | 11969 | high | dropped | misc: MS.PNG.Buffer.Overflow | 80 | 2708 | port3 |
131.20 bizim makinamız.Diğeride kurbanlardan biri.
Eski serverda plesk vardı.Belki ondandır dedik.Yeni servera kurmadık.Artık tahmin yürütebileceğimiz bir yerde kalmadı.Ürünlere destek veren arkadaşlarda net bişe diyemedi.
Acil olarak yardımlarınızı bekliyoruz.
iyi çalışmalar.
Gönderildi : 19/09/2011 12:55
Hamit bey öncelikle geçmiş olsun,
Sorun için size net bir soru soracağım, lisanssız bir ürün kullanıyormusunuz ? Bu winrar bile olsa yani her zaman adminlerin alışkanlığı vardır kurduğu programları hep bir yerden kurar ve format bile atıyor olsanız her aynı programları kurduğunuz için bu tür sorunlar olur, bu basit bir virüs sorunu aslında ve bunu çözümü forumda değil sizin dikkatinizde bitiyor, biz ne kadar buradan tahmin yürütmeye çalışsakta sistem sizin elinizin altında olduğu için en iyi çözümü siz veya size yerinde destek veren uzmanlar üretecektir.
Benim tavsiyem sadece eğer bu makine bir data center da ise aynı data center daki diğer makinelere de güvenmeyin derim belki bu tür bir atak içeridende geliyor olabilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 19/09/2011 14:01
Konu başlatıcı
Makinda sadece winrar ve bir browser var.Geri kalan herşeyimiz lisanslı.Bu olasılığıda düşündük hocam.Ne kadar malware adwaire varsa denedik.3-5 farklı firmanın virus koruması ile denedik birşey bulamadı. http://safeweb.norton.com v.s sitelerlede web sayfamızı tarattığımızda yine birşey çıkmadı.Forti hatalı bir uyarımı veriyor diye kontrol ettik.Gerçektende biri sayfamızı ziyaret ettiğinde yeni bir sesion açıp bir yerlere hücum ediyor.Tahminim sayfamızdaki kodların bir yerlerine injection gibi birşey oluyor.Daha önceden çalıştığım kurumun serverında böyle bir sorun olmuştu.Dosyaları update ettiğimiz makinada trojen vardı.Sayfaları servera gönderirken aspx kodlarına ilave kodlar ekliyordu.Temiz kodlarla ve temiz bir makina ile sorunu çözmüştük.
Gönderildi : 19/09/2011 16:53
Evet bu da bir ihtimal, kodları kim yazdı ?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 19/09/2011 17:42
Konu başlatıcı
Ben işin network kısmına bakıyorum. web tasarımcı bir arkadaşımız var.Kod kısmı ile o ilgileniyor.
Gönderildi : 19/09/2011 17:52
Konu başlatıcı
Yeni birşey farkettik.Bu hata sitedeki png resimlerinden kaynaklanıyor.png resimleri serverdan sildiğimiz anda sorun çözülüyor, saldırı kesiliyor. Png resimlerini geri attığımız anda tekrardan başlıyor.Bu konuyla ilgili fikri olan varmı ?
Gönderildi : 19/09/2011 21:53
