Forum
Bildirimler
Hepsini Temizle
Windows Server
10
Yazılar
6
Üyeler
0
Likes
452
Görüntüleme
Konu başlatıcı
Server 2003 ana maınaya biri girip assagıdaki notu bırakmıs
Server tum guncellemeleri yapılmıs durumda .Dısarıya terminal server acık
Serverinizde (ve bir çok başka serverde) bulunan bir güvenlik açığından faydalanarak
serverinize girdim ve kayda değer bulduğum bilgilerinizin yedeklerini şifreleyerek aldım ve
orjinallerini üstüne veri yazarak tekrar kurtarılamayacak şekilde sildim.
Verilerinizi geriye bulduğum şekilde koymamı isterseniz bunun şartları konusunda
anlaşmak üzere bana [email protected] adresine
serverinizin ip numarasını da içeren bir mail atınız koşullar konusunda anlaşalım.
Bu Şahız içeri nasıl girmiştir .Bu konuda tecrubesi ve fikri olan varmı
Saygılarımla Erdoğan
Gönderildi : 10/05/2012 13:45
Peki gercekten denildigi sekilde birseyler varmi ? TS disariya acikmi ve antiviru, firewall gibi seyler ayarlimi ?
Gönderildi : 10/05/2012 13:48
Firewall loglarınızdan rdp yapan IP adreslerini kontrol edin.
Windows loglarında 528 kodu logon:10 ise altında rdp yapan IP adresi yazar.
Verilerinizi kontrol ettiniz mi? gerçek mi dediği?
Gönderildi : 10/05/2012 13:49
Bizim terminal serverların güvenliğini isa server ile sağlamaktayım fakat anlatacağım tarz bir güvenliği artık modemlerde bile yapabiliyorsun. Terminal servera wandan bağlanmak isteyenler için: ilgili servis sağlayıcıya static ip tanımlatıyorsun sonra firewalldan wan dan lana şekilde bir kural tanımlıyorsun. Bu kuralda static ip üzerinden 3389 portundan geldiğinde terminal serverın local ipsine yönlendiriyorsun. Böylece dışardan bir kimse bağlanamıyor.
Sizde böyle bir yapı mevcutmuydu ? Yoksa ipnizi bulan herkez bağlanabilir durumdamıydı ?
Gönderildi : 10/05/2012 13:51
Konu başlatıcı
veriler yok Steganos Backup 2012 program kullanmıs
d backup seklinde klasor var dataları sanırım onun içinde
administrator şifresi 8 harfden olusuyordu
Friwall olarak ayriyetten bir urun yok.Adsl var onunde 3389 portu acıksadece
kendine user acmıs _steganos_backup_ adında
Gönderildi : 10/05/2012 13:54
Konu başlatıcı
sabit ip ve direk giriliyordu
Gönderildi : 10/05/2012 13:56
Modem loglarını kontrol edin.
Gönderildi : 10/05/2012 14:22
Serverdaki verileri geri getirmeyi denemelisin. Öncelikle sistemde sql datası varmıydı ? Yoksa sadece dosyalarınızı mı almış ?
Gönderildi : 10/05/2012 14:24
windows 2003 de muhtemelen senin local administrator kullanıcın şifreli değildi giriş yolu bu olsa gerek,yada firma dışında bir yerden bağlandıysan keylogger tarzı programla kullanıcı adı ve şifreni almış olabilirler.en güzeli loglardan rdp yapan ip adresini öğrenebilir yasal olarak başvuru yapmanı tavsiye ederim.dataları erd commander tarzı programla dosyaların özlük haklarını sıfırlıyabilirsin.
Gönderildi : 10/05/2012 15:05
arkadaşlar,
aynı kişinin saldırısına 17 temmuz itibari ile biz de uğradık maalesef, sorunu Erdoğan beyler sorunu çözebilmi acaba?
saygılar
hamdi erdem
Gönderildi : 18/07/2012 17:46
