Forum

Server 2003 bü...
 
Bildirimler
Hepsini Temizle

Server 2003 bütün datalarımız silindi.

19 Yazılar
9 Üyeler
0 Likes
826 Görüntüleme
(@MesutArslan)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Arkadaşlar merhaba,

 

Bu sabah çok tatsız bir olayla karşılaştık. Şu an Serverimizdaki bütün datalar ( Logo programı, Exchange datalar, sql datalar) tamamen silinmiş durumda. Disklerimiz neredeyse boş. Sanırım bir hacker saldırmış. Masaüstünede bir not bırakmış, datalarınıza ulaşmak istiyorsanız benimle irtibata geçin diye. Servera baktığımızda Eraser diye bir program yüklenmiş. Sanırım silme işlemini bununla yapmış. Yedekleme diskimiz usb den olduğundan onunda içini boşaltmış. 

Eraser programına internette baktığımda güvenli silme programı diye geçiyor. Acaba bizim bu silinen dosyaları kurtarmamız mümkünmüdür? Bu durumda ne yapmamız gerekir?  

Destek verdiğimiz çoğu firmada benzer sıkıntılar çekiyoruz. Serverda admin şifrelerimiz değişiyor, dosyalar siliniyor. Bunu nasıl başarıyorlar acaba? Nasıl bir önlem alabiliriz?  Serverlarımızda Trend micro worry free kullanıyoruz, ayrıca Sonicwall güvenlik cihazlarımızda var.

 
Gönderildi : 22/12/2011 13:19

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Diskdeki verileri kurtarmak için prof. veri kurtarma merkezlerinden yararlanabilirsiniz.

Saldıranı bulmak için Firewall logların , windows loglarını inceleyin. Gerçi sağlam bir alt yapınız olmadığını düşünüyorum. Bu sorun müşterilerinize kadar uzuyorsa... 

Ayrıca bu işi yapan içeriden biri olma ihtimalide söz konusu.. Düzgün bir firewall , Vlan vb. yapı kurup , arkaya iyi bir AV vs. kurarsanız çok sorun yaşamazsınız. Gerçi bu işler  bütçe ile ilgili.. 

Not bırakıp , bana ulaşın diyorsa ulaşın sizde , polise haber verin:) Sanki daha önceden garezi olan biri gibi görünüyor.

Ayrıca günlük olarak logları incelemelisiniz. Her gün onlarca attack girişimi yapılıyor. DDOS , Men in the middle ,  Sql injection vb.

Çok zor bir durum. Geçmiş olsun..

 
Gönderildi : 22/12/2011 13:33

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
 

Hocam merhaba,

Öncelikle geçmiş olsun, kötü bir durum. Sana şunu söyleyebilirim şifre kırmak , çok zor hatta mümkün olamayan birşeydir. Muhtemelen senin sistemineki yapılandırmalarda açık var.(En yakınındaki insanlardan şüphe edebilirsin) Mesela firewall da önceden yapılandırılmış portlar, serverda açılmış yedek admin hesabı gibi. Yada kullanıdığınız şifreleri başkaları da biliyordur. 

Bence senin yapman gereken eğer loglar temizlenmemişse, en son bağlanan ip adresini bilişim suçlarına şikayet etmelesin. Datalara ulaşman biraz zor gözüküyor. Data kurtarma firmaları da çok iyi işini yapan bir yer bulmalısın. Çünkü datayı kurtarıp, diski çalışmaz hale getirip biz kurtarırız diyip fahiş fiyat isyteyenler de var. 

 Hocam dediğim gibi problem bence içerde! 

Yada adamı tamam anlaştık de çözümparka gelsin hepimiz dalalım adama 🙂 Şaka bir yana çok geçmiş olsun tekrar.  

 
Gönderildi : 22/12/2011 13:42

(@MesutArslan)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Teşekkürler arkadaşlar cevaplar için. 

Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı.  Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz. 

Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler.. 

 
Gönderildi : 22/12/2011 14:05

(@erdemyaglikara)
Gönderiler: 1165
Noble Member
 

öncelikle geçmiş olsun bir it personelin başına gelecek olan en kötü şey başınıza gelmiş en büyük güvenlik açığı her zaman içtedir! benim tahminim dışardan saldırı değilde içerden birisnin yaptığı yönünde ben senin yerinde olsam adama telefon açar polisle beraber baskın yapardım öbür türlü dataların hepsini kurtarman çok zor...

 
Gönderildi : 22/12/2011 14:08

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4272
Co-Helper
 

Geçen gün netsec de paylaşmıştım. Bıraktığı bilgi ve istekler aşağıda ki gibi ise aynı şahısdan bahsediyoruz demektir. Bu olay emniyete intikal etmiş durumda, takibinde. Sizde durumunuzu mutlaka bildirin. Onlar sizi yönlendirecektir. Ben biraz da bunun üzerinden gideceğim. Açıkçası şahsın size dataları yedeğiniz yoksa  vermesinden başka yapabileceğiniz birşey yok. Data Recovery yoluna başvurabilirsiniz fakat bazı firmalarda datalar şifrelenmiş ve bunun üzerine silinmiş veya silinmemiş. Eraser vb. tool larla yapılan silinmeleri basit toollarla geri getiremezsiniz. Diskleri şifreledikten sonra sildiyse zaten unutun yapılabilecek hiç bir şey yok. Yoksa prof. data kurtarma hizmeti için sadece plakaların bütün tek parça olarak elde bulunması bile yeterlidir. Bu iş yurt dışında yapılır. Böyle bir hizmet size 2500 ila 8bin € arasına mal olur (Rusya kanalı üzerinden).

Benim diyebileceklerim şimdilik bu kadar. Sistem açıklarından faydalanıyorlar. İşte güvenlik politikaları bu yüzden çok önemli, geri dönülemez noktalara gelmeden önce yatırım yapılmalı. 

‎"Geçenlerde
twitter hesabımdan bir olay yazmıştım. Sabah ofisime gelen bir
telefonda, mağdur olan şirketin IT yöneticileri, sistemlerinin bir
saldırgan tarafından ele geçirildiğini, bütün verilerinin şifrelendiğini
ve şifrelendikten sonra sistemde eraser tarzı bir uygulama
çalıştırılarak diğer verilerin geri dönülemez şekilde silindiğini
söylüyorlardı. Saldırgan sunucunun masaüstüne bir not bırakıp
eğer verilerini geri istiyorlarsa kendisi ile iletişime geçilmesi
gerektiğini söylemiş. Bu olayı yazdıktan sonra aynı tarz iki farklı olay
daha yine inceleme amaçlı olarak karşıma çıktı.

En son dün
yine bir olay daha yaşanınca biraz araştırayım istedim olayın boyutunu.
Sağlam kaynaklardan aldığım bilgiler ışığında olayın boyutunun
tahminimden çok daha büyük olduğunu öğrendiğim. Bu konu ile ilgili çok
fazla sayıda mağdur şirket varmış ve eğer şirketler saldırganın istediği
parayı yatırmazlarsa bilgilerinin bir web sitesi üzerinden ifşa
edileceğiyle tehdit ediliyormuş. İlgili web sitesini öğrendim. Sitenin
adresi aşağıda.

http://sirketverileri.com/

Sitede yer alan ifade aynen şu şekilde "Uzlaşma yoluna gitmeyen
firmaların Şirket bilgileri yayınlanacaktir.." Hatta sitede şu an
uzlaşma yoluna gitmeyen üç şirketin verileri yayınlanıyor.

Saldırganın yaptığı ise basitçe şöyle, sistemlerdeki açıkları tespit
edip sunucuya sızmak, veritabanlarını alıp TrueCrypt ile şifrelemek ve
eraser tarzı bir uyguama ile orjinal veritanını silmek.

Mağdurlar arasında devlet hastanelerinin olduğu bilgisi de geldi.

Her zaman dediğimiz gibi, eğer şirketler güvenliğe proaktif şekilde
yaklaşmış olsalardı bu durumlarla hiç karşılaşmayacaklardı."

Halil ÖZTÜRKCİ
(alıntıdır)

 

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/12/2011 18:43

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Teşekkürler arkadaşlar cevaplar için. 

Bizde ilk başta içeriden birisidir diye düşündük ama bu başımıza gelen ilk müşteride değil. Son 4 ayda 3 ayrı yerde bu tarz problem yaşadık. Onlarda silinme olmamıştı ama admin şifreleri değişip yine serverda bazı değişiklikler yapıldı.  Ufuk bey dediğiniz gibi yapmaya çalışıyoruz aslında ama malesef bütçe konusunda firmalarla pek anlaşamıyoruz. 

Loglar silinmemiş, şimdi bi dediğiniz gibi logları kontrol edeceğiz. Modem üzerinde çok fazla açık port yoktu ama birde windows firewall'a bakalım. Ama çok içaçıcı gözükmüyor dediğiniz gibi 🙂 Tekrar teşekkürler.. 

Sizin ekipten biri olabilirmi..

 
Gönderildi : 22/12/2011 19:28

(@MesutArslan)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Ufuk bey bizim ekipte bir ben bir patron var, birde stajerimiz var 🙂

 

Ibrahim Bey çok teşekkürler cevap için. Bugün Mecidiyeköydeki profesyonel bir veri kurtarma merkezine götürdük yedek diskimizi. Bakalım yarına birşey çıkıcakmı. Pek umutlu değiliz ama servisteki arkadaş serverimizada bağlanıp diskleri kontrol etti, silinen dosyaların şifrelenmiş olduğunu söyledi. Bugün firma sahipleri suç duyurusunda bulundular , yarın bizde log dosyalarımızla birlikte emniyete gideceğiz sanırım.

Elimizde 1-2 ip adresi var loglarda gözüken, dün akşam girilmiş ama sanırım proxy kullanarak bağlanmış olacakki Amerikada çıkıyor kendisi 🙂 Şimdi son bir çare olarak adama mail atacağız bakalım ne istiyormuş.  Tekrar teşekkürler.

 
Gönderildi : 22/12/2011 20:49

(@www-rizasahan-com)
Gönderiler: 18026
_
 

Konuyu bastan beri takip ediyorum cok uzucu bir durum. Siber tehdit ise cok kotu.Konunun akibetini buradan devam ettirirseniz sevinirim.
Saygilarimla.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 23/12/2011 00:23

(@MesutArslan)
Gönderiler: 10
Active Member
Konu başlatıcı
 

Edit..

 
Gönderildi : 23/12/2011 01:10

(@www-rizasahan-com)
Gönderiler: 18026
_
 

Bu durumu Microsoft ile konuştunuzmu adamın bir daha saldırmayacağı ne malum dediği gibi gerçek bir açık var ise.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 23/12/2011 11:45

(@mesutguven)
Gönderiler: 60
Trusted Member
 

Merhaba Mesut Bey,

Daha önce başımıza gelen bir olayı ve çözüm yolumuzu kısaca paylaşmak istiyorum.

Artık ihtiyacımız olmadığını düşündüğümüz SQL Server Datalarını sildik ve disklerin RAID yapılarıyla oynadık.
Daha sonra içinde yedeği alınmamış önemli dataların olduğunu fark ettiğimizde birçok kurtarma programıyla denemelerimiz sonuç vermedi.
Nihayetinde, aşağıda verdiğim link kurtarıcımız oldu. Fakat RAID yapısının çözülmesi ve sonrasında verilerin kurtarılması için ön gerilen süre 20 gündü.

Vakit dar, veri önemli olunca neler yapabileceğimizi konuştuk ve 2,5 iş günü içinde verileri %100 sağlıklı şekilde tamamı kurtarılarak teslim edildi.
Bu linkten iletişim bilgilerine ulaşıp danışabilirsiniz.

 
Gönderildi : 23/12/2011 12:22

(@Anonim)
Gönderiler: 0
 

Bu konu reklam için açılmış tuzak

 
Gönderildi : 23/12/2011 15:15

(@www-rizasahan-com)
Gönderiler: 18026
_
 


Bu konu reklam için açılmış tuzak



?

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 23/12/2011 15:35

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4272
Co-Helper
 

Mesut bey, tahmin ettiğim firma ise güvenebilirsiniz Ömer abi 🙂 size yardımcı olamazsa başkasının yapması pek mümkün değil.

İnşallah dataları geri alabilirsiniz. Dediğim gibi handikap şifrelenmesi, çözdürürler umarım.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/12/2011 18:39

(@Anonim)
Gönderiler: 0
 

Data kurtarma merkezi reklamı yapıyorlar burada.


Teşkilatlanıp konu açmışlar, sözde sorunu çözüp, en iyi biziz havası verip müşteri çekecekler.


Hiçde inandırıcı bir hikaye değil.

 
Gönderildi : 24/12/2011 04:10

(@Anonim)
Gönderiler: 0
 

Güvenli data silme programları (wipe) ile silinmiş bir programsa kurtarma merkezleri bir işe yaramaz zaten orası bir saçmalık. sen aynı verinin üzerine 16 defa veri yazdırıyorsun. bu işlemden güya kurtarılan veri ise tamamıyla çöptür. sadece  dosya adları çıkar.

Ayrıca silinen dataların boyutu nedir ? bu kadar veri bir gecede sistemden gönderilebilir mi ? bunu sorgulamak lazım.

sonicwall ve. antivirüs varken sisteme bilindik yolla girilmeli. hadi kurallar iyi değildi. ama verinin dışları çıkması için gereken süreyi hesaplayın bakalım bir gecede çıkabilirmi ?

hadi SQL çıkarılabilir. ama exchange?

Aklıma gelen Mesut Arslan ya herşeyi cihazların yazılımların kendinden yapmasını bekliyor

yada evet konu  fake/reklam

 
Gönderildi : 24/12/2011 17:37

(@MesutArslan)
Gönderiler: 10
Active Member
Konu başlatıcı
 
Konuyu nasıl fake'e getirdiniz anlamıyorum. Herkes sizler kadar yeteneklide olamayabilir. Ben herşeyi cihazların yapmasını beklemiyorum, bir sorunla karşılaştım ve sizinle paylaştım. Konu artık bilişim suçlarına intikal etmiş durumda. Biz suç duyurusunda bulunduk. Birşey çıkar çıkmaz bilemeyiz ama üstümüze düşeni yaptık.  
Hackerin sistemimize giriş şekli ise öncelikle ipmizi bulup (bunu nasıl başardı bilemiyorum) daha sonra rdp yaparak sistemde açık olabilecek standart kullanıcıları tek tek deneyip (Örnek Sql, Muhasebe, teknik, vs. vs. gibi) sonunda birisini bularak sistemimize giriş yapmış. Daha sonrada sanıyoruzki True Crypt programı ile datalarımızı cryptlemiş. Gerek emniyet, gerekse prof. data kurtarma firmaları bize bu sistemin, hackerin belirlemiş olduğu kod olmadan kırılamayacağını söylediğinden, hackerla anlaşma yoluna gittik. Hacker sistemimize bağlanıp true crypt kurarak , almış olduğu yedek dosyasını ortaya çıkardı. Fakat burdada True Cryp için gerekli olan , 768 bit şifre kaydını tutan key dosyasının silinmiş olduğunu söyledi ve işlemi sonlanıramadı.
 
Şu an elimizde yedek dosyamız var fakat key dosyası olmadığından açılamıyor. Bugün sistemimizi sıfırdan kurarak mecburen 6 ay önceki datadan dönüş yaptık. Zarar büyük ama yapacak birşey yok, Buda bizim için acı bir tecrübe oldu.
 
 
Gönderildi : 25/12/2011 02:14

(@Anonim)
Gönderiler: 0
 

Mesut Arslan sende yazmışsın.

Totalde ne kadarlık bir veriden bahsediyoruz?

Önce sistemin  wipe edildiğini herşeyin silindiğini söylediktena sonra şifrelenmiş vs. den bahsetmek mantıksız.

Diskin kapasite kullanımı en temel ve  basit veridir.

şimdi truecriptin disk saklama yöntemine baktım iyi bir yöntemle saklanmış fakat bu durumda kalınca sisteminizde neler değişmiş? hangi yazılımlar yüklenmiş vs incelemedinizm i ?

ayrıca halen yedekleme konusundaki sorumluluğunuz mevcut. sisteminizi periyodik yedeklemelisiniz.

inceleyin

cobian backup

oo diskimage

 
Gönderildi : 27/12/2011 01:14

Paylaş: