Forum
Bildirimler
Hepsini Temizle
Windows Server
5
Yazılar
2
Üyeler
0
Likes
699
Görüntüleme
Konu başlatıcı
Merhaba arkadaşlar,
Bir müşterime ait Windows 2008 R2 sunucuya bir vatandaş izinsiz olarak giriş yapıyor. Kendine kullanıcı hesabı açıp uzak masaüstü bağlantı kurup farklı yerlere brute force atak yapıyor. Adamın tek derdi atak yani sunucuya görünürde bir zarar vermiyor.
Sunucuda trojen taraması yaptım Malwarebytes ve Kaspersky ile. Buldumda ardından sistem dosyalarına bulaşmış trojenleri (backdoor) temizledim. Kullanıcı hesabınıda sildim, Administrator şifresinide değiştirdim.
Ardından bu arkadaş 2 gün sonra tekrar geldi. Malwarebytes ve Kaspersky yazılımlarınıda kaldırmış yine aynı şekilde saldırı yapıyor.
Şuan makinanın tüm portlarını internete kapattım. Tekrar gelemedi haliyle.
Şimdi benim yapmak istediğim şudur. Ben makinayı tekrardan internete açmak istiyorum. Amacım ise adamın tekniğini bulmak. Muhtemelen ben makinayı açtığımda bu adam bulaştırdığı trojen ile tekrar gelecek. Geldiğinde ise bu kişinin yapacağı tüm hareketleri takip etmek istiyorum. Örneğin C'ye girdi. Windows'a girdi abc.exe'yi çalıştırdı hello word yazdı gibi keylogger gibi (kim ne zaman ne yaptı etti) birşey arıyorum. Bu tüm adımları takip etmemin bir yolu varmı acaba. Event Viewer ile baktım ama içinden çıkamadım açıkcası.
Bu konuda bilgi sahibi arkadaşlar yardımcı olursa çok sevinirim.
Gönderildi : 20/04/2016 14:43
+ Sunucuya RDP ile mi giriliyor, teamviewer, VNC gibi bir uygulama var mı?
+ Sunucuya bir payload mı yükleniyor?
+ Logları temizliyor mu?
Bu ihtimaller o kadar çoğaltılabilir ki!
Sebebi bulmadan çözüm de üretemezsiniz.
ne olup bittiğine dair derin analiz için fikir vermesi açısından şu makaleyi inceleyebilirsiniz :
Hafıza Analizi : https://zar.sge.gov.tr/Content/docs/hafiza_analizi.pdf
Zararlı yazılım analizi : https://zar.sge.gov.tr/Content/docs/bilgisayar_uzerinde_analiz.pdf
ve ikinci olarak
dediğiniz gibi bir keylogger tarzı bir uygulama işinizi görür ama yöneticisi yetkisi var ise bu uygulamayı kaldırmayacağı konusunda iyimserseniz.
Gönderildi : 20/04/2016 16:14
Konu başlatıcı
Merhmet bey yorumunuz için çok teşekkür ederim.
Kişi rdp ile bağlanıyor. Vnc vs. kullanmıyor.
Sunucuda Dubrute isimli bir yazılım kuruyor ve bununla brute force denemeleri yapıyor.
Logları temizlediğine şahit olmadım daha öncekileri. Keylogerdan kastım tam olarak internette şifre yakalamaya çalışanlar gibi değilde daha çok bu işi nasıl yaptığına dair bilgi edinebileceğim birşey arıyorum.
Bugün dosya tarihlerine göre sunucuda bir arama yaptım. Üç adet dosya buldum bunlardan 2 tanesi bat bir tanesi reg dosyası. Dosyaları incelemek isteyen olursa diye paylaşıyorum.
http://dosya.co/pa34z3i24u9e/Arşiv.zip.html
Tavsiyelerine ihtiyacım var çok teşekkür edeirm.
Gönderildi : 20/04/2016 16:33
Öncelikle yapının önüne Intrusion Prevention System (IPS) modülü barındıran bir firewall konumlandırın.
Açık kaynak IPS sistemine bir örnek : https://www.snort.org/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
altındaki;
sethc dizinini silin.
Sunucudaki mevcut kullanıcıları kontrol ediniz. farklı kullanıcıları sistemden silin.
Administrator hesabının ismini değiştirin.
Admin veya türevleri değil de, tamamen alakasız bir isim olmasını önemli. ve güçlü bir şifre belirleyin.
RDP'i kapatınız ya da VPN ile yapınız. secure bağlantı sağlayan bazı server-client yazılımlar da var rdp için kullanabileceğiniz.
İsterseniz benimle iletişime geçin;
sunucuya beraber bakalım.
Ardından işlettiğimiz süreçleri bu postun altına yazarız.
Gönderildi : 21/04/2016 13:24
Konu başlatıcı
Hocam sağolsun başka bir arkadaşımız direk makina içeriğini taşıyıp makinayı formatlamış. Bundan dolayı iz süremedim.
Yardımlarınız için çok teşekkür ederim.
Gönderildi : 25/04/2016 15:18
