win 2008 server bru...
 
Bildirimler
Hepsini Temizle

win 2008 server brute force  

Hamit İNAN
(@HamitiNAN)
Üye

Arkadaşlar iyi günler aranıza yeni katıldım.Yardımınıza acil olarak ihtiyacım var.

windows 2008 iss server kurulu.Sürekli olarak admin şifresi ve portlar deneniyor.Benim yapmak istediğim belli bir denemeden sonra kullanıcı login olamaz ise kullanılan ip yi otomatik olarak bloklamak.Yardımlarını bekliyorum.

Alıntı
Topic starter Gönderildi : 13/09/2011 01:06
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba Hamit bey, bu pek çok dışa açık web server için normal bir durum olup çoğu kez size özel bir eylem değildir, bunu engellemenin en iyi yolu bir Firewall satın almanızdır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 13/09/2011 11:59
Hamit İNAN
(@HamitiNAN)
Üye

Hakan hocam kurusa bakmayın. Sağlık problemlerinden dolayı bir süre internetten ve iş yerimden uzak kaldım.
Güvenlik duvarı olarak Fortigate 1000A kullanıyoruz.Serverlarımız DMZ bacağında ve policyler tanımlı.Wan ve Localle yalıtılmış durumda.Açık olan portlarımız Ftp, Http, Https, Ssh, Ms-Sql, Mysql, Dns.
Esx server üzerinde win 2008R2 x64 enterpirise kullanıyoruz, tüm updateler güncel, güvenlik duvarı aktifti. Ayrıca Kaspersky virus koruma vardı üzerinde.Loglar içinde elimizde FortiAnalyzer 800B var.Aşağıda sorunla ilgili loglarıda yolluyorum.

Log Number 7
Last Activity 2011-09-19 09:26:20
Type ips
Level alert
Source 79.123.13***
Destination 78.160.11***
Attack ID 11969
Severity high
Status dropped
Message misc: MS.PNG.Buffer.Overflow
Source Port 80
Destination Port 2719
Source Interface port3
Destination Interface port2
Protocol 6
Policy ID 112
Service 2719/tcp
Count 1
User N/A
VDom root
Timestamp 2011-09-19 09:25:18
Subtype signature
Log ID 16384
Group N/A
Device ID

***********2606500743

 

 

 

misc: MS.PNG.Buffer.Overflow

 hata iletisini araştırdığımızda 2008 de media playerden kaynaklanan bir açık olgu söyleniyor.Ama bizim sistemde media player yok zaten gerekli güncellemelerin hepside var.İlk mesajı yazdığımızda bizim makinamız ip değiştirilerek deneniyordu.Şifrelerimiz komplex olduğu halde bulundu.Şimdi aynı olay bizim makinamızdan başka serverlara doğru oluyor.Serverı yeniden kurduk.Temiz kodlarla yayına açtık gene olmadı.Kodları gönderdiğimiz makinada trojen olarabilir, o kaynak yapabilir diye düşündük tarattık yine bişey yok.En az 4-5 virus korumada tarandı.Sayfamızı google ve norton ile taradık nafile.Sayfada sorun yok diyor.

 

 

 

8 2011-09-19 09:26:20 ips alert 79.123.***** 88.231.26.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2446 port3 port2 6 112 2446/tcp 1 N/A root 2011-09-19 09:25:18 signature
9 2011-09-19 09:26:20 ips alert 79.123.***** 78.160.110.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2711 port3 port2 6 112 2711/tcp 1 N/A root 2011-09-19 09:25:18 signature
10 2011-09-19 09:26:19 ips alert 79.123.***** 78.160.110.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2700 port3 port2 6 112 2700/tcp 1 N/A root 2011-09-19 09:25:18 signature
11 2011-09-19 09:26:19 ips alert 79.123.***** 78.160.110.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2720 port3 port2 6 112 2720/tcp 1 N/A root 2011-09-19 09:25:17 signature
12 2011-09-19 09:26:19 ips alert 79.123.***** 78.160.110.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2712 port3 port2 6 112 2712/tcp 1 N/A root 2011-09-19 09:25:17 signature
13 2011-09-19 09:26:18 ips alert 79.123.***** 78.160.110.*** 11969 high dropped misc: MS.PNG.Buffer.Overflow 80 2708 port3

 131.20 bizim makinamız.Diğeride kurbanlardan biri.

Eski serverda plesk vardı.Belki ondandır dedik.Yeni servera kurmadık.Artık tahmin yürütebileceğimiz bir yerde kalmadı.Ürünlere destek veren arkadaşlarda net bişe diyemedi.

Acil olarak yardımlarınızı bekliyoruz.
iyi çalışmalar.

CevapAlıntı
Topic starter Gönderildi : 19/09/2011 12:55
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Hamit bey öncelikle geçmiş olsun,


Sorun için size net bir soru soracağım, lisanssız bir ürün kullanıyormusunuz ? Bu winrar bile olsa yani her zaman adminlerin alışkanlığı vardır kurduğu programları hep bir yerden kurar ve format bile atıyor olsanız her aynı programları kurduğunuz için bu tür sorunlar olur, bu basit bir virüs sorunu aslında ve bunu çözümü forumda değil sizin dikkatinizde bitiyor, biz ne kadar buradan tahmin yürütmeye çalışsakta sistem sizin elinizin altında olduğu için en iyi çözümü siz veya size yerinde destek veren uzmanlar üretecektir.


Benim tavsiyem sadece eğer bu makine bir data center da ise aynı data center daki diğer makinelere de güvenmeyin derim belki bu tür bir atak içeridende geliyor olabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/09/2011 14:01
Hamit İNAN
(@HamitiNAN)
Üye

Makinda sadece winrar ve bir browser var.Geri kalan herşeyimiz lisanslı.Bu olasılığıda düşündük hocam.Ne kadar malware adwaire varsa denedik.3-5 farklı firmanın virus koruması ile denedik birşey bulamadı. http://safeweb.norton.com  v.s sitelerlede web sayfamızı tarattığımızda yine birşey çıkmadı.Forti hatalı bir uyarımı veriyor diye kontrol ettik.Gerçektende biri sayfamızı ziyaret ettiğinde yeni bir sesion açıp bir yerlere hücum ediyor.Tahminim sayfamızdaki kodların bir yerlerine injection gibi birşey oluyor.Daha önceden çalıştığım kurumun serverında böyle bir sorun olmuştu.Dosyaları update ettiğimiz makinada trojen vardı.Sayfaları servera gönderirken aspx kodlarına ilave kodlar ekliyordu.Temiz kodlarla ve temiz bir makina ile sorunu çözmüştük.

CevapAlıntı
Topic starter Gönderildi : 19/09/2011 16:53
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Evet bu da bir ihtimal, kodları kim yazdı ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/09/2011 17:42
Hamit İNAN
(@HamitiNAN)
Üye

Ben işin network kısmına bakıyorum. web tasarımcı bir arkadaşımız var.Kod kısmı ile o ilgileniyor.

CevapAlıntı
Topic starter Gönderildi : 19/09/2011 17:52
Hamit İNAN
(@HamitiNAN)
Üye

Yeni birşey farkettik.Bu hata sitedeki png resimlerinden kaynaklanıyor.png resimleri serverdan sildiğimiz anda sorun çözülüyor, saldırı kesiliyor. Png resimlerini geri attığımız anda tekrardan başlıyor.Bu konuyla ilgili fikri olan varmı ?

CevapAlıntı
Topic starter Gönderildi : 19/09/2011 21:53
Paylaş: