server 2003 hacker
 
Bildirimler
Hepsini Temizle

server 2003 hacker  

Erdoğan Bat
(@ErdoganBat)
Üye

Server 2003 ana maınaya biri girip assagıdaki notu bırakmıs


Server tum guncellemeleri yapılmıs durumda .Dısarıya terminal server acık


Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak
serverinize girdim ve kayda değer  bulduğum bilgilerinizin  yedeklerini şifreleyerek aldım ve
orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda  
anlaşmak üzere bana money4ptr.pn@gmail.com adresine
serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.


Bu Şahız içeri nasıl girmiştir .Bu konuda tecrubesi ve fikri olan varmı


Saygılarımla Erdoğan 


 

Alıntı
Topic starter Gönderildi : 10/05/2012 13:45
Evren Banger
(@evrenbanger)
Saygın Üye Forum Yöneticisi

Peki gercekten denildigi sekilde birseyler varmi ? TS disariya acikmi ve antiviru, firewall gibi seyler ayarlimi ?

CevapAlıntı
Gönderildi : 10/05/2012 13:48
Ufuk TATLIDIL
(@ufuktatlidil)
Saygın Üye

Firewall loglarınızdan rdp yapan IP adreslerini kontrol edin.

Windows loglarında 528 kodu logon:10 ise altında rdp yapan IP adresi yazar.

Verilerinizi kontrol ettiniz mi? gerçek mi dediği?

 

CevapAlıntı
Gönderildi : 10/05/2012 13:49
Onur PULGAT
(@OnurPULGAT)
Üye

Bizim terminal serverların güvenliğini isa server ile sağlamaktayım fakat anlatacağım tarz bir güvenliği artık modemlerde bile yapabiliyorsun. Terminal servera wandan bağlanmak isteyenler için:  ilgili servis sağlayıcıya static ip tanımlatıyorsun sonra firewalldan wan dan lana şekilde bir kural tanımlıyorsun. Bu kuralda static ip üzerinden 3389 portundan geldiğinde terminal serverın local ipsine yönlendiriyorsun. Böylece dışardan bir kimse bağlanamıyor.

 Sizde böyle bir yapı mevcutmuydu ? Yoksa ipnizi bulan herkez bağlanabilir durumdamıydı ?  

CevapAlıntı
Gönderildi : 10/05/2012 13:51
Erdoğan Bat
(@ErdoganBat)
Üye

veriler yok Steganos Backup 2012 program kullanmıs


d backup seklinde klasor var dataları sanırım onun içinde

administrator şifresi 8 harfden olusuyordu
Friwall olarak ayriyetten bir urun yok.Adsl var onunde 3389 portu acıksadece


kendine user acmıs _steganos_backup_ adında


 

CevapAlıntı
Topic starter Gönderildi : 10/05/2012 13:54
Erdoğan Bat
(@ErdoganBat)
Üye

sabit ip ve direk giriliyordu

CevapAlıntı
Topic starter Gönderildi : 10/05/2012 13:56
Ufuk TATLIDIL
(@ufuktatlidil)
Saygın Üye

Modem loglarını kontrol edin.

CevapAlıntı
Gönderildi : 10/05/2012 14:22
Onur PULGAT
(@OnurPULGAT)
Üye

Serverdaki verileri geri getirmeyi denemelisin. Öncelikle sistemde sql datası varmıydı ? Yoksa sadece dosyalarınızı mı almış ? 

CevapAlıntı
Gönderildi : 10/05/2012 14:24
Ramazan Sivri
(@RamazanSivri)
Üye

windows 2003 de muhtemelen senin local administrator kullanıcın şifreli değildi giriş yolu bu olsa gerek,yada firma dışında bir yerden bağlandıysan keylogger tarzı programla kullanıcı adı ve şifreni almış olabilirler.en güzeli loglardan rdp yapan ip adresini öğrenebilir yasal olarak başvuru yapmanı tavsiye ederim.dataları erd commander tarzı programla dosyaların özlük haklarını sıfırlıyabilirsin.

CevapAlıntı
Gönderildi : 10/05/2012 15:05
hamdi erdem
(@hamdierdem)
Üye

arkadaşlar,

aynı kişinin saldırısına 17 temmuz itibari ile biz de uğradık maalesef, sorunu Erdoğan beyler sorunu çözebilmi acaba?

saygılar

hamdi erdem 

CevapAlıntı
Gönderildi : 18/07/2012 17:46
Paylaş: