Windows Server 2016...
 
Bildirimler
Hepsini Temizle

Windows Server 2016 kendiliğinde oturum açan Guest hesabı  

  RSS
Mehmet Ozdemir
(@MehmetOzdemir)
Üye

Selam arkadaşlar,

Windows Server 2016 kullanıyoruz. Bazen bağlı kullanıcıları kontrol etmek için baktığımda Guest kullanıcısının orutum açmış olduğunu görüyorum. Ekranına bağlandığımda sihost.exe nin bir hata mesajı ekranda oluyor. kullancııları görüntüleme ekranı açık oluyor ve 2 adet DOS ekranında yazılar kayıyor. Bu normal midir?

Ekran görseli aşağıdaki gibidir.

 

[url= https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g" target="_blank">https://preview.ibb.co/nmRug7/Ekran_Resmi_2018_05_07_16_11_51.pn g"/> [/img][/url]

Guest Hesabındaki açık görevlerde aşağıdaki gibi.

[url= https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g" target="_blank">https://preview.ibb.co/h7zpg7/Ekran_Resmi_2018_05_07_16_10_56.pn g"/> [/img][/url]

 

Alıntı
Gönderildi : 07/05/2018 19:39
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 08/05/2018 07:39
Mehmet Ozdemir
(@MehmetOzdemir)
Üye

Öncelikle yanıtınız için teşekkür ederim. 

Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.

  1. Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
  2. Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)

Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında. 

 

 

[quote user="CumhurAltan"]

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

[/quote]

CevapAlıntı
Gönderildi : 08/05/2018 13:00
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar Mehmet Bey ;

 

Rdp erişimi açık mı sunucuda?

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 08/05/2018 15:18
Hasan Altın
(@huseyinaltin)
Üye

[quote user="Mehmet Ozdemir"]

Öncelikle yanıtınız için teşekkür ederim. 

Verdiğiniz bilgiler doğrultusunda Program Ekle/Kaldır'a baktım.

  1. Yabancı ve yeni yüklenmiş Yayımcısı belli olmayan bir yazılım yok.
  2. Microsoft Server'a özel Lisanslı ESET Antivirüs yazılımı yüklü ve Güncel (Şu an yeniden SmartScan yapıyorum)

Konuk kullanıcısını tamamen devreden çıkarmanın en güvenli yolu nedir? Ve başta ne tip önlemler almalıyım. Sunucu Superonline Data Center'de barınıyor ve Bize özel Cyberoam Firewall arkasında. 

 

 

[quote user="CumhurAltan"]

Selamlar ;

 

Sunucunuz üzerinde bitcoin madenciliği yapılıyor. Son zamanlarda  oldukça revaçta sunucu üzerinde rdp erişimi açık ise sunucuyu hackleyip sunucu üzerinde mandecilik  yazılımı ile crypto para madenciliği yazılımları  çalıştırarak sunucunuzun  kaynaklarını  kullanıyorlar. Rdp erişimlerini   kapatıp program ekle  kaldırdan son yuklenen programlar  listesinden madencilik yazılımını kaldırın ve  guncel bir virus ve malware  taramasından geçirin.Şayet Rdp erişimi  açık ise şanslı sayılırsınız  nitekim sunucunuza erişen bu kişi tum dosyaları şifreleyip fidye de  isteyebilirdi.

[/quote]

[/quote]

 

Merhaba,

 

Çalışan servisleri kontrol etmenizde fayda var. Bunun için Sysinternals Tools kullanabilirsiniz. Aşağıdaki video bu konuda size gerekli bilgileri verebilir.

 

 

https://docs.microsoft.com/en-us/sysinternals/

 

İyi günler.

CevapAlıntı
Gönderildi : 08/05/2018 17:54
Mehmet Ozdemir
(@MehmetOzdemir)
Üye

Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.

CevapAlıntı
Gönderildi : 08/05/2018 19:12
Erdem Yağlıkara
(@erdemyaglikara)
Üye

Merhaba,

3389 Portu direk olarak dışa açıksa bu tarz saldırılara maruz kalmanız oldukça yüksek eğer ortamda bir utm cihazı var ise ssl vpn'i aktifleştirmenizi tavsiye ederim.

 

CevapAlıntı
Gönderildi : 08/05/2018 19:38
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar ;

 

Değişen birşey olmayacaktır  yine sunucuyu hackleyıp sisteminize  bağlanacak. 2 alternatifiniz var rdp yapan ip adresleri  statik ise  sadece o ip  adreslerine  rdp yetkisi vereceksiniz veya Client-to-Site Vpn ( SSL olur, Ipsec olur, L2TP olur ) ile  kullanıcılarınız  sunucunuza  bağlanacaklar. Olayın vehametini farketmeniz  adına  söylüyorum oldukça  şanslısınız  sadece mining  yazılımı çalıştırmışlar bütün datalarınızı şifreleyip sizden  ciddi  meblağlarda fidye de  isteyebilirlerdi, şifrelenmiş  dosyaları açmak için.

 

[quote user="Mehmet Ozdemir"]

Evet RDP Erişimi açık, 20 den fazla kullanıcı RDP ile bağlanarak kullanıyor. Ve RDP yetkisi olanları Everone olarak seçtim. Sanırım burda everyone kaldırıp teker teker gerçek kullanıcıları seçsem Guest i RDP özelliğinden yoksun bırakmış oluruz.

[/quote]

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 09/05/2018 04:58
Mehmet Ozdemir
(@MehmetOzdemir)
Üye

Firewall'a IP Filter koydum en kesin çözüm.

Teşekkürler yanıtlayan tüm arkadaşlara.

CevapAlıntı
Gönderildi : 09/05/2018 13:16
ahmet ceylan
(@ahmetceylan)
Üye

Merhaba;

ip filter fikri güzel ama yetersiz sunucularınız Cryptolocker'a maruz kalma ihtimalleri yakın. Size önerim Symantec EP sisteme kurup taratmanızdır aynı şey başımıza geldi ne kadar block koyarsasanız koyun nete çıkışı açık olan bir ip bulup ordan çıkmaya çalışıyor. Bu tip virüslerde eset hiç güven vermiyor zaten engellemiyorda.

CevapAlıntı
Gönderildi : 09/05/2018 14:19
Sinan OSMAN
(@sinanosman)
Üye

[quote user="Mehmet Ozdemir"]

Firewall'a IP Filter koydum en kesin çözüm.

Teşekkürler yanıtlayan tüm arkadaşlara.

[/quote]

 

Merhaba,

3389 olan RDP portunuzu başka bir portla değiştirmenizi öneririm. Ayrıca saldırıya maruz kaldığınız için IP adreslerinizi değiştirmenizde de fayda var.

 

CevapAlıntı
Gönderildi : 09/05/2018 20:44
Rıza ŞAHAN
(@www-rizasahan-com)
Değerli Üye Forum Yöneticisi

Port numarası değiştirme biraz eskide kaldı. Artık çok akıllı sistemler ile saldırılar olmakta. Açık olan portları bulmak çok kolay. En güzeli ssl vpn ile kullanıcılara rdp yaptırmak. Ayrıca sistemlerin güncel ve desteklerinin devamı olan sistemlerin kullanılması önemli.

CevapAlıntı
Gönderildi : 13/05/2018 02:57
Paylaş: