Server 2003 bü...
 
Bildirimler
Hepsini Temizle

Server 2003 bütün datalarımız silindi.  

Sayfa 1 / 2
  RSS
Mesut Arslan
(@MesutArslan)
Üye

Arkadaşlar merhaba,

 

Bu sabah çok tatsız bir olayla karşılaştık. Şu an Serverimizdaki bütün datalar ( Logo programı, Exchange datalar, sql datalar) tamamen silinmiş durumda. Disklerimiz neredeyse boş. Sanırım bir hacker saldırmış. Masaüstünede bir not bırakmış, datalarınıza ulaşmak istiyorsanız benimle irtibata geçin diye. Servera baktığımızda Eraser diye bir program yüklenmiş. Sanırım silme işlemini bununla yapmış. Yedekleme diskimiz usb den olduğundan onunda içini boşaltmış. 

Eraser programına internette baktığımda güvenli silme programı diye geçiyor. Acaba bizim bu silinen dosyaları kurtarmamız mümkünmüdür? Bu durumda ne yapmamız gerekir?  

Destek verdiğimiz çoğu firmada benzer sıkıntılar çekiyoruz. Serverda admin şifrelerimiz değişiyor, dosyalar siliniyor. Bunu nasıl başarıyorlar acaba? Nasıl bir önlem alabiliriz?  Serverlarımızda Trend micro worry free kullanıyoruz, ayrıca Sonicwall güvenlik cihazlarımızda var.

Alıntı
Gönderildi : 22/12/2011 12:19
Ufuk TATLIDIL
(@ufuktatlidil)
Saygın Üye

Diskdeki verileri kurtarmak için prof. veri kurtarma merkezlerinden yararlanabilirsiniz.

Saldıranı bulmak için Firewall logların , windows loglarını inceleyin. Gerçi sağlam bir alt yapınız olmadığını düşünüyorum. Bu sorun müşterilerinize kadar uzuyorsa... 

Ayrıca bu işi yapan içeriden biri olma ihtimalide söz konusu.. Düzgün bir firewall , Vlan vb. yapı kurup , arkaya iyi bir AV vs. kurarsanız çok sorun yaşamazsınız. Gerçi bu işler  bütçe ile ilgili.. 

Not bırakıp , bana ulaşın diyorsa ulaşın sizde , polise haber verin:) Sanki daha önceden garezi olan biri gibi görünüyor.

Ayrıca günlük olarak logları incelemelisiniz. Her gün onlarca attack girişimi yapılıyor. DDOS , Men in the middle ,  Sql injection vb.

Çok zor bir durum. Geçmiş olsun..

CevapAlıntı
Gönderildi : 22/12/2011 12:33
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Hocam merhaba,

Öncelikle geçmiş olsun, kötü bir durum. Sana şunu söyleyebilirim şifre kırmak , çok zor hatta mümkün olamayan birşeydir. Muhtemelen senin sistemineki yapılandırmalarda açık var.(En yakınındaki insanlardan şüphe edebilirsin) Mesela firewall da önceden yapılandırılmış portlar, serverda açılmış yedek admin hesabı gibi. Yada kullanıdığınız şifreleri başkaları da biliyordur. 

Bence senin yapman gereken eğer loglar temizlenmemişse, en son bağlanan ip adresini bilişim suçlarına şikayet etmelesin. Datalara ulaşman biraz zor gözüküyor. Data kurtarma firmaları da çok iyi işini yapan bir yer bulmalısın. Çünkü datayı kurtarıp, diski çalışmaz hale getirip biz kurtarırız diyip fahiş fiyat isyteyenler de var. 

 Hocam dediğim gibi problem bence içerde! 

Yada adamı tamam anlaştık de çözümparka gelsin hepimiz dalalım adama 🙂 Şaka bir yana çok geçmiş olsun tekrar.  

CevapAlıntı
Gönderildi : 22/12/2011 12:42
oldmember
(@yavuzfilizlibay)
Üye

Çok geçmiş olsun, bencede daha önceden bir accountu olan biri, yaptığı iş kolay değil, o kadar datayı yedekledimi ki size diyor bana ulaşın diye, cep telefonu felan bıraktıysa direk savcılığa suç duyurusunda bulunun derim.

CevapAlıntı
Gönderildi : 22/12/2011 13:04
Mesut Arslan
(@MesutArslan)
Üye

Teşekkürler arkadaşlar cevaplar için. 

Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı.  Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz. 

Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler.. 

CevapAlıntı
Gönderildi : 22/12/2011 13:05
Erdem Yağlıkara
(@erdemyaglikara)
Üye

öncelikle geçmiş olsun bir it personelin başına gelecek olan en kötü şey başınıza gelmiş en büyük güvenlik açığı her zaman içtedir! benim tahminim dışardan saldırı değilde içerden birisnin yaptığı yönünde ben senin yerinde olsam adama telefon açar polisle beraber baskın yapardım öbür türlü dataların hepsini kurtarman çok zor...

CevapAlıntı
Gönderildi : 22/12/2011 13:08
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Geçen gün netsec de paylaşmıştım. Bıraktığı bilgi ve istekler aşağıda ki gibi ise aynı şahısdan bahsediyoruz demektir. Bu olay emniyete intikal etmiş durumda, takibinde. Sizde durumunuzu mutlaka bildirin. Onlar sizi yönlendirecektir. Ben biraz da bunun üzerinden gideceğim. Açıkçası şahsın size dataları yedeğiniz yoksa  vermesinden başka yapabileceğiniz birşey yok. Data Recovery yoluna başvurabilirsiniz fakat bazı firmalarda datalar şifrelenmiş ve bunun üzerine silinmiş veya silinmemiş. Eraser vb. tool larla yapılan silinmeleri basit toollarla geri getiremezsiniz. Diskleri şifreledikten sonra sildiyse zaten unutun yapılabilecek hiç bir şey yok. Yoksa prof. data kurtarma hizmeti için sadece plakaların bütün tek parça olarak elde bulunması bile yeterlidir. Bu iş yurt dışında yapılır. Böyle bir hizmet size 2500 ila 8bin € arasına mal olur (Rusya kanalı üzerinden).

Benim diyebileceklerim şimdilik bu kadar. Sistem açıklarından faydalanıyorlar. İşte güvenlik politikaları bu yüzden çok önemli, geri dönülemez noktalara gelmeden önce yatırım yapılmalı. 

‎"Geçenlerde
twitter hesabımdan bir olay yazmıştım. Sabah ofisime gelen bir
telefonda, mağdur olan şirketin IT yöneticileri, sistemlerinin bir
saldırgan tarafından ele geçirildiğini, bütün verilerinin şifrelendiğini
ve şifrelendikten sonra sistemde eraser tarzı bir uygulama
çalıştırılarak diğer verilerin geri dönülemez şekilde silindiğini
söylüyorlardı. Saldırgan sunucunun masaüstüne bir not bırakıp
eğer verilerini geri istiyorlarsa kendisi ile iletişime geçilmesi
gerektiğini söylemiş. Bu olayı yazdıktan sonra aynı tarz iki farklı olay
daha yine inceleme amaçlı olarak karşıma çıktı.

En son dün
yine bir olay daha yaşanınca biraz araştırayım istedim olayın boyutunu.
Sağlam kaynaklardan aldığım bilgiler ışığında olayın boyutunun
tahminimden çok daha büyük olduğunu öğrendiğim. Bu konu ile ilgili çok
fazla sayıda mağdur şirket varmış ve eğer şirketler saldırganın istediği
parayı yatırmazlarsa bilgilerinin bir web sitesi üzerinden ifşa
edileceğiyle tehdit ediliyormuş. İlgili web sitesini öğrendim. Sitenin
adresi aşağıda.

http://sirketverileri.com/

Sitede yer alan ifade aynen şu şekilde "Uzlaşma yoluna gitmeyen
firmaların Şirket bilgileri yayınlanacaktir.." Hatta sitede şu an
uzlaşma yoluna gitmeyen üç şirketin verileri yayınlanıyor.

Saldırganın yaptığı ise basitçe şöyle, sistemlerdeki açıkları tespit
edip sunucuya sızmak, veritabanlarını alıp TrueCrypt ile şifrelemek ve
eraser tarzı bir uyguama ile orjinal veritanını silmek.

Mağdurlar arasında devlet hastanelerinin olduğu bilgisi de geldi.

Her zaman dediğimiz gibi, eğer şirketler güvenliğe proaktif şekilde
yaklaşmış olsalardı bu durumlarla hiç karşılaşmayacaklardı."

Halil ÖZTÜRKCİ
(alıntıdır)

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/12/2011 17:43
Ufuk TATLIDIL
(@ufuktatlidil)
Saygın Üye

[quote user="Mesut Arslan"]

Teşekkürler arkadaşlar cevaplar için. 

Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı.  Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz. 

Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler.. 

[/quote]

Sizin ekipten biri olabilirmi..

CevapAlıntı
Gönderildi : 22/12/2011 18:28
Mesut Arslan
(@MesutArslan)
Üye

Ufuk bey bizim ekipte bir ben bir patron var, birde stajerimiz var 🙂

 

Ibrahim Bey çok teşekkürler cevap için. Bugün Mecidiyeköydeki profesyonel bir veri kurtarma merkezine götürdük yedek diskimizi. Bakalım yarına birşey çıkıcakmı. Pek umutlu değiliz ama servisteki arkadaş serverimizada bağlanıp diskleri kontrol etti, silinen dosyaların şifrelenmiş olduğunu söyledi. Bugün firma sahipleri suç duyurusunda bulundular , yarın bizde log dosyalarımızla birlikte emniyete gideceğiz sanırım.

Elimizde 1-2 ip adresi var loglarda gözüken, dün akşam girilmiş ama sanırım proxy kullanarak bağlanmış olacakki Amerikada çıkıyor kendisi 🙂 Şimdi son bir çare olarak adama mail atacağız bakalım ne istiyormuş.  Tekrar teşekkürler.

CevapAlıntı
Gönderildi : 22/12/2011 19:49
Rıza ŞAHAN
(@www-rizasahan-com)
Değerli Üye Forum Yöneticisi

Konuyu bastan beri takip ediyorum cok uzucu bir durum. Siber tehdit ise cok kotu.Konunun akibetini buradan devam ettirirseniz sevinirim.
Saygilarimla.

CevapAlıntı
Gönderildi : 22/12/2011 23:23
Mesut Arslan
(@MesutArslan)
Üye

Edit..

CevapAlıntı
Gönderildi : 23/12/2011 00:10
Rıza ŞAHAN
(@www-rizasahan-com)
Değerli Üye Forum Yöneticisi

Bu durumu Microsoft ile konuştunuzmu adamın bir daha saldırmayacağı ne malum dediği gibi gerçek bir açık var ise.

CevapAlıntı
Gönderildi : 23/12/2011 10:45
Mesut GÜVEN
(@mesutguven)
Üye

Merhaba Mesut Bey,

Daha önce başımıza gelen bir olayı ve çözüm yolumuzu kısaca paylaşmak istiyorum.

Artık ihtiyacımız olmadığını düşündüğümüz SQL Server Datalarını sildik ve disklerin RAID yapılarıyla oynadık.
Daha sonra içinde yedeği alınmamış önemli dataların olduğunu fark ettiğimizde birçok kurtarma programıyla denemelerimiz sonuç vermedi.
Nihayetinde, aşağıda verdiğim link kurtarıcımız oldu. Fakat RAID yapısının çözülmesi ve sonrasında verilerin kurtarılması için ön gerilen süre 20 gündü.

Vakit dar, veri önemli olunca neler yapabileceğimizi konuştuk ve 2,5 iş günü içinde verileri %100 sağlıklı şekilde tamamı kurtarılarak teslim edildi.
Bu linkten iletişim bilgilerine ulaşıp danışabilirsiniz.

CevapAlıntı
Gönderildi : 23/12/2011 11:22
 Anonim

Bu konu reklam için açılmış tuzak

CevapAlıntı
Gönderildi : 23/12/2011 14:15
Rıza ŞAHAN
(@www-rizasahan-com)
Değerli Üye Forum Yöneticisi

[quote user="gürkan arsoy"]

Bu konu reklam için açılmış tuzak


[/quote]


?

CevapAlıntı
Gönderildi : 23/12/2011 14:35
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Mesut bey, tahmin ettiğim firma ise güvenebilirsiniz Ömer abi 🙂 size yardımcı olamazsa başkasının yapması pek mümkün değil.

İnşallah dataları geri alabilirsiniz. Dediğim gibi handikap şifrelenmesi, çözdürürler umarım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 23/12/2011 17:39
 Anonim

Data kurtarma merkezi reklamı yapıyorlar burada.


Teşkilatlanıp konu açmışlar, sözde sorunu çözüp, en iyi biziz havası verip müşteri çekecekler.


Hiçde inandırıcı bir hikaye değil.

CevapAlıntı
Gönderildi : 24/12/2011 03:10
 Anonim

Güvenli data silme programları (wipe) ile silinmiş bir programsa kurtarma merkezleri bir işe yaramaz zaten orası bir saçmalık. sen aynı verinin üzerine 16 defa veri yazdırıyorsun. bu işlemden güya kurtarılan veri ise tamamıyla çöptür. sadece  dosya adları çıkar.

Ayrıca silinen dataların boyutu nedir ? bu kadar veri bir gecede sistemden gönderilebilir mi ? bunu sorgulamak lazım.

sonicwall ve. antivirüs varken sisteme bilindik yolla girilmeli. hadi kurallar iyi değildi. ama verinin dışları çıkması için gereken süreyi hesaplayın bakalım bir gecede çıkabilirmi ?

hadi SQL çıkarılabilir. ama exchange?

Aklıma gelen Mesut Arslan ya herşeyi cihazların yazılımların kendinden yapmasını bekliyor

yada evet konu  fake/reklam

CevapAlıntı
Gönderildi : 24/12/2011 16:37
Mesut Arslan
(@MesutArslan)
Üye
Konuyu nasıl fake'e getirdiniz anlamıyorum. Herkes sizler kadar yeteneklide olamayabilir. Ben herşeyi cihazların yapmasını beklemiyorum, bir sorunla karşılaştım ve sizinle paylaştım. Konu artık bilişim suçlarına intikal etmiş durumda. Biz suç duyurusunda bulunduk. Birşey çıkar çıkmaz bilemeyiz ama üstümüze düşeni yaptık.  
Hackerin sistemimize giriş şekli ise öncelikle ipmizi bulup (bunu nasıl başardı bilemiyorum) daha sonra rdp yaparak sistemde açık olabilecek standart kullanıcıları tek tek deneyip (Örnek Sql, Muhasebe, teknik, vs. vs. gibi) sonunda birisini bularak sistemimize giriş yapmış. Daha sonrada sanıyoruzki True Crypt programı ile datalarımızı cryptlemiş. Gerek emniyet, gerekse prof. data kurtarma firmaları bize bu sistemin, hackerin belirlemiş olduğu kod olmadan kırılamayacağını söylediğinden, hackerla anlaşma yoluna gittik. Hacker sistemimize bağlanıp true crypt kurarak , almış olduğu yedek dosyasını ortaya çıkardı. Fakat burdada True Cryp için gerekli olan , 768 bit şifre kaydını tutan key dosyasının silinmiş olduğunu söyledi ve işlemi sonlanıramadı.
 
Şu an elimizde yedek dosyamız var fakat key dosyası olmadığından açılamıyor. Bugün sistemimizi sıfırdan kurarak mecburen 6 ay önceki datadan dönüş yaptık. Zarar büyük ama yapacak birşey yok, Buda bizim için acı bir tecrübe oldu.
 
CevapAlıntı
Gönderildi : 25/12/2011 01:14
Sayfa 1 / 2
Paylaş: