Forum

Server 2008 Hack
 
Bildirimler
Hepsini Temizle

Server 2008 Hack

9 Yazılar
7 Üyeler
0 Likes
826 Görüntüleme
(@UmitKANDEMIR)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Merhabalar. 07.01.2018 tarihinde tüm güvenlik katmanları yapmamıza rağmen malesef server 2008 r2 standart sp1 hacklenmistir. nerden açık bulmuşlarsa verileri şifreleyip not bırakıp gitmişler. 15 Adet uzak masaüstü kullanicimiz var  fortigate ve kaspersky kullanıyoruz. Forticlient ile vpn üzerinden uzak masaüstü yapıyoruz bu arada 3389 nolu port kullanmiyorum. Kırma şekline gelince default_admin olarak kullanıcı açılmış bu kullanıcıdan istenilen herşeye erişim sağlamıştır. Güvenlik duvarına gelen uzak masaustu protokolu ip adresleri de sınırlı. Başka bir şekilde güvenliği daha üst seviyeye nasıl çıkarabilirim. Saygilar

 
Gönderildi : 10/01/2018 12:25

(@CemalTaner)
Gönderiler: 80
Trusted Member
 

Eğer oltalama yaparak bu sonuca ulaşmışlarsa kullanıcıları eğitmeniz lazım. Yoksa milyar dolarlık güvenlik cihazı alsan boş. Ayrıca istemcilerdeki tüm yazılımlar güncel olmalı. Güncel olmayan bir adobe reader tehlike kapısıdır misal.

 
Gönderildi : 10/01/2018 12:31

(@erdemyaglikara)
Gönderiler: 1165
Noble Member
 

Merhaba,

Öncelikle geçmiş olsun cryptolocker yeme şansınız varmı? Eğer tüm portlarınız dışarı kapalı ise vpn üzerinden hacklenme kullanıcı adı ve şife bilmeden yapılması oldukça zor terminal server ile bağlantı kuran kullanıcıların yetkilerini iyi ayarlamanız gerekiyor hiç bir kullanıcıya admin yetkisi vermeyiniz admin şifreniz kompleks bir şifre olsun terminal server üzerinden uzak bağlantı programlarını engelleyebilirsiniz.Vpn bağlantı yapıldıktan sonra RDP portunu değiştirebilirsiniz benim ilk aklıma gelenler bunlar.

 

 
Gönderildi : 10/01/2018 12:36

(@UmitKANDEMIR)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Bilgi için tesekkurler. Cyripto için önlemimizi almıştık. Bu default_admin kullanıcısı açılmaması için ne yapabiliriz. Admin hesabının isminide degistirmistim ama bunlara gerek kalmadan isi bitirmişler. 

 
Gönderildi : 10/01/2018 13:32

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

ilk önlem güncel ve yeni nesil işletim sistemi kullanmanız olacaktır. 2008r2/2016

sunucular ile son kullanıcıların network yapısını ayırın. bkz. vlan

oluşturduğunuz vlan'ı firewall üzerinde sonlandırıp, trafiği burada port/protokol bazlı kontrol edebilirsiniz.

ips modülü mevcut ise, profilini düzenleyip, ilgili policyler üzerinde uygulanabilir.

yine aynı vlan üzerinde threshold'lar belirleyip, alarm tanımlayarak, bildirim yapmasını sağlamak mümkün.

bunlar server ve network tarafında ilk aklıma gelenler, son kullanıcı ayrı bir dünya mümkün olduğu kadar yetkilerini ellerinden almanızı öneririm.

sizden kullanılan yöntem bu olmayabilir, hesap tarafında fikir vermesi açısından paylaşıyorum.

https://www.youtube.com/watch?v=lgp-xeHwFn0

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/01/2018 04:43

(@bugraparlayan)
Gönderiler: 324
Üye
 

Selamlar,

Diğer arkadaşların dediği gibi Güncel bir işletim sistemi ve full update her zaman şart. Windows 2008 üzerinde 139 numaralı port üzerinden yürüyorlar genelde muhtemelen sanada MS09_050 numaralı açık ile eriştiler.

Bu ikisini araştırırsan daha rahat sonuçlar elde edebilirsin.

Not : Şimdi fark ettim, Turan hocada video yu paylaşmış. 

Oracle ACE Associate - Türkiye Hayat & Emeklilik

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/01/2018 11:24

(@ErdoganPALA)
Gönderiler: 158
Estimable Member
 

Metasploit ile dns v.b açıklarınızdan erişim sağlıyarak komut dizininden kendilerine admin eklemiş olabilirler diğer arkadaşlarında dediği gibi en güncel işletim sistemlerini tercih ediniz ve metasploit ile kullandığınız işletim sisteminin açıklarını v.s araştırıp gerekli kontrolleri ve önlemleri almaya çalışabilirsiniz.

İkinci bir ihtimal ise network dahil olan kullanıcılarınızdan biri yapmış olabilir cain v.b yazılımlarla networkü dinliyerek. 

 
Gönderildi : 11/01/2018 12:06

(@UmitKANDEMIR)
Gönderiler: 3
Active Member
Konu başlatıcı
 

Ustalar hepinize ayrı ayrı teşekkür ederim..

 
Gönderildi : 11/01/2018 13:31

(@resulsoydas)
Gönderiler: 1623
Noble Member
 

Kaspersky'ın hangi edition/veriyonunu kullanıyorsunuz? System Watcher açık mıydı?

 
Gönderildi : 11/01/2018 14:21

Paylaş: