Forum
Bildirimler
Hepsini Temizle
Windows Server
12
Yazılar
7
Üyeler
0
Likes
1,825
Görüntüleme
Konu başlatıcı
Selam arkadaşlar,
Windows Server 2016 kullanıyoruz. Bazen bağlı kullanıcıları kontrol etmek için baktığımda Guest kullanıcısının orutum açmış olduğunu görüyorum. Ekranına bağlandığımda sihost.exe nin bir hata mesajı ekranda oluyor. kullancııları görüntüleme ekranı açık oluyor ve 2 adet DOS ekranında yazılar kayıyor. Bu normal midir?
Ekran görseli aşağıdaki gibidir.
[url= https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g" target="_blank">https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g"/> [/img][/url]
Guest Hesabındaki açık görevlerde aşağıdaki gibi.
[url= https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g" target="_blank">https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g"/> [/img][/url]
Gönderildi : 07/05/2018 19:39
Selamlar ;
Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik yazılımı ile crypto para madenciliği yazılımları çalıştırarak sunucunuzun kaynaklarını kullanıyorlar. Rdp erişimlerini kapatıp program ekle kaldırdan son yuklenen programlar listesinden madencilik yazılımını kaldırın ve guncel bir virus ve malware taramasından geçirin.Şayet Rdp erişimi açık ise şanslı sayılırsınız nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de isteyebilirdi.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 08/05/2018 07:39
Konu başlatıcı
Öncelikle yanıtınız için teşekkür ederim.
Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.
- Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
- Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)
Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında.
Selamlar ;
Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik yazılımı ile crypto para madenciliği yazılımları çalıştırarak sunucunuzun kaynaklarını kullanıyorlar. Rdp erişimlerini kapatıp program ekle kaldırdan son yuklenen programlar listesinden madencilik yazılımını kaldırın ve guncel bir virus ve malware taramasından geçirin.Şayet Rdp erişimi açık ise şanslı sayılırsınız nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de isteyebilirdi.
Gönderildi : 08/05/2018 13:00
Selamlar Mehmet Bey ;
Rdp erişimi açık mı sunucuda?
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 08/05/2018 15:18
Öncelikle yanıtınız için teşekkür ederim.
Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.
- Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
- Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)
Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında.
Selamlar ;
Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik yazılımı ile crypto para madenciliği yazılımları çalıştırarak sunucunuzun kaynaklarını kullanıyorlar. Rdp erişimlerini kapatıp program ekle kaldırdan son yuklenen programlar listesinden madencilik yazılımını kaldırın ve guncel bir virus ve malware taramasından geçirin.Şayet Rdp erişimi açık ise şanslı sayılırsınız nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de isteyebilirdi.
Merhaba,
Çalışan servisleri kontrol etmenizde fayda var. Bunun için Sysinternals Tools kullanabilirsiniz. Aşağıdaki video bu konuda size gerekli bilgileri verebilir.
https://www.youtube.com/watch?v=80vfTA9LrBM
https://docs.microsoft.com/en-us/sysinternals/
İyi günler.
Gönderildi : 08/05/2018 17:54
Konu başlatıcı
Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.
Gönderildi : 08/05/2018 19:12
Merhaba,
3389 Portu direk olarak dışa açıksa bu tarz saldırılara maruz kalmanız oldukça yüksek eğer ortamda bir utm cihazı var ise ssl vpn'i aktifleştirmenizi tavsiye ederim.
Gönderildi : 08/05/2018 19:38
Selamlar ;
Değişen birşey olmayacaktır yine sunucuyu hackleyıp sisteminize bağlanacak. 2 alternatifiniz var rdp yapan ip adresleri statik ise sadece o ip adreslerine rdp yetkisi vereceksiniz veya Client-to-Site Vpn ( SSL olur, Ipsec olur, L2TP olur ) ile kullanıcılarınız sunucunuza bağlanacaklar. Olayın vehametini farketmeniz adına söylüyorum oldukça şanslısınız sadece mining yazılımı çalıştırmışlar bütün datalarınızı şifreleyip sizden ciddi meblağlarda fidye de isteyebilirlerdi, şifrelenmiş dosyaları açmak için.
Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 09/05/2018 04:58
Konu başlatıcı
Firewall'a IP Filter koydum en kesin çözüm.
Teşekkürler yanıtlayan tüm arkadaşlara.
Gönderildi : 09/05/2018 13:16
Merhaba;
ip filter fikri güzel ama yetersiz sunucularınız Cryptolocker'a maruz kalma ihtimalleri yakın. Size önerim Symantec EP sisteme kurup taratmanızdır aynı şey başımıza geldi ne kadar block koyarsasanız koyun nete çıkışı açık olan bir ip bulup ordan çıkmaya çalışıyor. Bu tip virüslerde eset hiç güven vermiyor zaten engellemiyorda.
Gönderildi : 09/05/2018 14:19
Firewall'a IP Filter koydum en kesin çözüm.
Teşekkürler yanıtlayan tüm arkadaşlara.
Merhaba,
3389 olan RDP portunuzu başka bir portla değiştirmenizi öneririm. Ayrıca saldırıya maruz kaldığınız için IP adreslerinizi değiştirmenizde de fayda var.
Gönderildi : 09/05/2018 20:44
Port numarası değiştirme biraz eskide kaldı. Artık çok akıllı sistemler ile saldırılar olmakta. Açık olan portları bulmak çok kolay. En güzeli ssl vpn ile kullanıcılara rdp yaptırmak. Ayrıca sistemlerin güncel ve desteklerinin devamı olan sistemlerin kullanılması önemli.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Gönderildi : 13/05/2018 02:57
