Forum

Server 2008 Hack
 
Bildirimler
Hepsini Temizle

Server 2008 Hack

Umit KANDEMIR
(@UmitKANDEMIR)
Üye

Merhabalar. 07.01.2018 tarihinde tüm güvenlik katmanları yapmamıza rağmen malesef server 2008 r2 standart sp1 hacklenmistir. nerden açık bulmuşlarsa verileri şifreleyip not bırakıp gitmişler. 15 Adet uzak masaüstü kullanicimiz var  fortigate ve kaspersky kullanıyoruz. Forticlient ile vpn üzerinden uzak masaüstü yapıyoruz bu arada 3389 nolu port kullanmiyorum. Kırma şekline gelince default_admin olarak kullanıcı açılmış bu kullanıcıdan istenilen herşeye erişim sağlamıştır. Güvenlik duvarına gelen uzak masaustu protokolu ip adresleri de sınırlı. Başka bir şekilde güvenliği daha üst seviyeye nasıl çıkarabilirim. Saygilar

Alıntı
Konu başlatıcı Gönderildi : 10/01/2018 12:25
Cemal Taner
(@CemalTaner)
Üye

Eğer oltalama yaparak bu sonuca ulaşmışlarsa kullanıcıları eğitmeniz lazım. Yoksa milyar dolarlık güvenlik cihazı alsan boş. Ayrıca istemcilerdeki tüm yazılımlar güncel olmalı. Güncel olmayan bir adobe reader tehlike kapısıdır misal.

CevapAlıntı
Gönderildi : 10/01/2018 12:31
Erdem Yağlıkara
(@erdemyaglikara)
Üye

Merhaba,

Öncelikle geçmiş olsun cryptolocker yeme şansınız varmı? Eğer tüm portlarınız dışarı kapalı ise vpn üzerinden hacklenme kullanıcı adı ve şife bilmeden yapılması oldukça zor terminal server ile bağlantı kuran kullanıcıların yetkilerini iyi ayarlamanız gerekiyor hiç bir kullanıcıya admin yetkisi vermeyiniz admin şifreniz kompleks bir şifre olsun terminal server üzerinden uzak bağlantı programlarını engelleyebilirsiniz.Vpn bağlantı yapıldıktan sonra RDP portunu değiştirebilirsiniz benim ilk aklıma gelenler bunlar.

 

CevapAlıntı
Gönderildi : 10/01/2018 12:36
Umit KANDEMIR
(@UmitKANDEMIR)
Üye

Bilgi için tesekkurler. Cyripto için önlemimizi almıştık. Bu default_admin kullanıcısı açılmaması için ne yapabiliriz. Admin hesabının isminide degistirmistim ama bunlara gerek kalmadan isi bitirmişler. 

CevapAlıntı
Konu başlatıcı Gönderildi : 10/01/2018 13:32
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

ilk önlem güncel ve yeni nesil işletim sistemi kullanmanız olacaktır. 2008r2/2016

sunucular ile son kullanıcıların network yapısını ayırın. bkz. vlan

oluşturduğunuz vlan'ı firewall üzerinde sonlandırıp, trafiği burada port/protokol bazlı kontrol edebilirsiniz.

ips modülü mevcut ise, profilini düzenleyip, ilgili policyler üzerinde uygulanabilir.

yine aynı vlan üzerinde threshold'lar belirleyip, alarm tanımlayarak, bildirim yapmasını sağlamak mümkün.

bunlar server ve network tarafında ilk aklıma gelenler, son kullanıcı ayrı bir dünya mümkün olduğu kadar yetkilerini ellerinden almanızı öneririm.

sizden kullanılan yöntem bu olmayabilir, hesap tarafında fikir vermesi açısından paylaşıyorum.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/01/2018 04:43
Buğra PARLAYAN
(@bugraparlayan)
Saygın Üye Forum Yöneticisi

Selamlar,

Diğer arkadaşların dediği gibi Güncel bir işletim sistemi ve full update her zaman şart. Windows 2008 üzerinde 139 numaralı port üzerinden yürüyorlar genelde muhtemelen sanada MS09_050 numaralı açık ile eriştiler.

Bu ikisini araştırırsan daha rahat sonuçlar elde edebilirsin.

Not : Şimdi fark ettim, Turan hocada video yu paylaşmış. 

Oracle ACE Associate - Türkiye Hayat & Emeklilik

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/01/2018 11:24
Erdogan PALA
(@ErdoganPALA)
Üye

Metasploit ile dns v.b açıklarınızdan erişim sağlıyarak komut dizininden kendilerine admin eklemiş olabilirler diğer arkadaşlarında dediği gibi en güncel işletim sistemlerini tercih ediniz ve metasploit ile kullandığınız işletim sisteminin açıklarını v.s araştırıp gerekli kontrolleri ve önlemleri almaya çalışabilirsiniz.

İkinci bir ihtimal ise network dahil olan kullanıcılarınızdan biri yapmış olabilir cain v.b yazılımlarla networkü dinliyerek. 

CevapAlıntı
Gönderildi : 11/01/2018 12:06
Umit KANDEMIR
(@UmitKANDEMIR)
Üye

Ustalar hepinize ayrı ayrı teşekkür ederim..

CevapAlıntı
Konu başlatıcı Gönderildi : 11/01/2018 13:31
Resul SOYDAŞ
(@resulsoydas)
Üye

Kaspersky'ın hangi edition/veriyonunu kullanıyorsunuz? System Watcher açık mıydı?

CevapAlıntı
Gönderildi : 11/01/2018 14:21
Paylaş: