Bildirimler
Hepsini Temizle

Olay Görüntüleyici Hakkında  

  RSS
burak can
(@burakcan)
Üye

Merhaba olay görüntüleyicisinde resimdeki durumu gördüm. Bizde olmayan kullanıcı hesaplarının bağlanmaya çalıştıkları fakat hatalı, başarısız log kayıtları yer almaktadır. Bu tarzda çokfazla değişik isimlerle kullanıcı adları mevcut.

Bunu bir saldırı olarak değerlendirebilir miyim?

 

Alıntı
Gönderildi : 09/11/2018 18:17
Rafet S. AYATA
(@rafets-ayata)
Saygın Üye Forum Yöneticisi

Merhaba,

Evet atak olarak algılayabilirsiniz. Bunun için erişim sağlayan port ve yapınızı gözden geçirmenizi tavsiye ederim.

CevapAlıntı
Gönderildi : 09/11/2018 20:18
burak can
(@burakcan)
Üye

1-) Peki bu atakların nerden geldiğini nasıl bulabilirim acaba ? Fw olarak pfsense kullanıyoruz.

2–) Ayrıca dışardan gelen bağlantılarda uzaktan masaüstü hizmetleri hizmeti portları kapalı . Bu olay kaydı nasıl bir atakla kayda düşüyor olabilir?

 

CevapAlıntı
Gönderildi : 09/11/2018 23:46
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

ilk soru, eventlog içerisinde ağ bilgileri kısmında, hangi adresten denemenin yapıldığını görebilirsiniz.

ikinci soru, erişim denemeleri/brute force ataklar sadece rdp üzerinden gerçekleşmez, ağınızda bulunan bir host üzerindende gerçekleştirilebilir.

detaylandırmak için audit toolardan birini kullanabilirsiniz. bkz. netwrix, manageengine vb.

bu tarz loglarda bilgi almak için referans adresteki çözümü yapınıza uyarlayabilirsiniz.

https://www.virtualizationhowto.com/2016/06/get-notified-of-failed-windows-login-attempts/

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 10/11/2018 03:36
burak can
(@burakcan)
Üye

[quote user="Turan COŞKUN"]

merhaba,

ilk soru, eventlog içerisinde ağ bilgileri kısmında, hangi adresten denemenin yapıldığını görebilirsiniz.

ikinci soru, erişim denemeleri/brute force ataklar sadece rdp üzerinden gerçekleşmez, ağınızda bulunan bir host üzerindende gerçekleştirilebilir.

detaylandırmak için audit toolardan birini kullanabilirsiniz. bkz. netwrix, manageengine vb.

bu tarz loglarda bilgi almak için referans adresteki çözümü yapınıza uyarlayabilirsiniz.

https://www.virtualizationhowto.com/2016/06/get-notified-of-failed-windows-login-attempts/

[/quote]

ilk soru için baktığımda ağ bilgileri kısmı boş gösteriyor.

ikinci soru için detaylandırma işlemi için manageengine kurdum. Fakat burdan da detaylandırdım ama işleme ait birşey göremedim.

 

ağ bilgileri kısmına ait ekran görüntüsü paylaşıyorum.

 

CevapAlıntı
Gönderildi : 14/11/2018 16:36
Erdem Yağlıkara
(@erdemyaglikara)
Üye

Merhaba,

Aşağıdaki adresten dışa açık portlarınızı kontrol ediniz.

https://www.ipfingerprints.com/portscan.php

Rdesktop üzerinden brute force saldırısına maruz kalıyorsunuz eğer vpn kullanıyorsanız vpn kullanıcıların loglarına bakmanızı tavsiye ederim vpn üzerinden bağlantı kurup local ağ üzerinden saldırı alabilirsiniz ek local üzerinde birisi size rdp hack yapmaya çalışabilir ipscan yaparak sisteminizde yabancı bir client olup olmadığını kontrol ediniz.

wireshark üzerinden network trafiğini dinleyebilirsiniz.

 

CevapAlıntı
Gönderildi : 14/11/2018 18:47
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

[quote user="burak can"]

 

ilk soru için baktığımda ağ bilgileri kısmı boş gösteriyor.

ikinci soru için detaylandırma işlemi için manageengine kurdum. Fakat burdan da detaylandırdım ama işleme ait birşey göremedim.[/quote]

ntlm ile doğrulama yaptırdığınız herhangi bir servisiniz mevcut mu ? bkz. firewall, proxy vb.

Erdem bey'in belirttiği gibi public/local/vpn trafiğini kontrol altına alın, gereksiz kaynakların ilgile host'a erişimini engelleyin.

local network tarafında yabancı hostların dahil olmasını engelleyin. bkz. 802.1x vb.

devamında ilgili host üzerinde hala benzer loglar mevcut ise, wireshark ile trafiği dinleyerek çözüme gidebilirsiniz.

 

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/11/2018 04:59
burak can
(@burakcan)
Üye

Verdiğiniz detaylı bilgiler için teşekkürler. Sorunumuz çözüldü. Son olarak wireshark ile trafik dinlemesi yaparak ip leri not aldım. Hepsi farklı ülkelere ait yabancı ip lerden oluşuyordu. Yerel ağımızdaki clientleri ve  fw izerinden lan ve dışarıdan gelen bağlantıları incelediğimde sorunun dışarıya açık bir portumuzdan kaynaklandığını gördüm. Kapatıp ardından bloklayınca bu saldırıların durduğunu farkettim.

Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.

CevapAlıntı
Gönderildi : 20/11/2018 13:59
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

https://www.cozumpark.com/blogs/gvenlik/archive/2010/04/18/hping-kullanarak-a-ke-if-al-malar.aspx
https://www.cozumpark.com/blogs/gvenlik/archive/2013/01/20/bilgi-g-venli-inde-s-zma-testleri.aspx
https://www.cozumpark.com/forums/thread/492.aspx
bu alan geniş CEH ve güvenlik başlığı altında ki makalelere bakıp öğrenebilirsiniz.
Dışarıya direkt RDP kesinlikle açmayın.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 20/11/2018 15:31
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

[quote user="burak can"]

Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.[/quote]

esasında saldırının nasıl yapıldığını sizin söylemeniz gerekir.

mesela hangi port ile servis,uygulama ve os public tarafta açıktı ?

içerden rdp vb. bir arayüz ile erişimi test ettiğinize, nat reflection kullanmazsanız, portu kapalı görebilirsiniz.

port güvenliğinizden başlangıç seviyesinde emin olmak istiyorsanız, düzenli olarak nmap vb. bir tool ile açık portlarınızı kontrol edin.

parola denemeleri için birçok tool mevcut, port/protokol/servise göre değişiklik gösterebiliyor. bkz. hydra

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 21/11/2018 02:53
burak can
(@burakcan)
Üye

[quote user="Turan COŞKUN"]

[quote user="burak can"]

Yalnız merak ettiğim bu saldırının nasıl yapıldığı? herhangi bir client üzerinden mstsc.exe ile dış ip no ile bağlantı kurmak istediğimde böyle bir işlem sonuç vermiyor. Yani kapalı gibi? Bunu yapan kişiler bu denemeleri hangi uygulamaları kullanarak yapıyor olabilirler acaba? Dakikada 8-10 arası kullanıcı adı parola denemesi yapıyordu.[/quote]

esasında saldırının nasıl yapıldığını sizin söylemeniz gerekir.

mesela hangi port ile servis,uygulama ve os public tarafta açıktı ?

içerden rdp vb. bir arayüz ile erişimi test ettiğinize, nat reflection kullanmazsanız, portu kapalı görebilirsiniz.

port güvenliğinizden başlangıç seviyesinde emin olmak istiyorsanız, düzenli olarak nmap vb. bir tool ile açık portlarınızı kontrol edin.

parola denemeleri için birçok tool mevcut, port/protokol/servise göre değişiklik gösterebiliyor. bkz. hydra

 

[/quote]

Bir ara Öncesinde ihtiyaç dahilinde dışardan erişim ve ihtiyaç dolayısıyla kısa süreliğine Fw de wan üzerinden 3389 portuna izin verip nat üzerinden servere yönlendirme yapmıştım. Fakat kısa süren bu işlem sonrasında işimiz bittiğinde wan üzerinden 3389 portumuzu tekrar devredışı yapmıştım fakat nat üzerinden yönlendirmeyi de iptal etmememiştim. Bunu da ihtiyaç duyulduğunda sadece wan üzerinden portu aktifleştirerek kullanacaktım. Denemesini de portu kapattıktan sonra yine  dışardan kullandığım bilgisayar üzerinden mstsc kullanarak yapmıştım, devredışı bıraktıktan sonra zaten girmemişti. O günden beri öylece duruyordu ta ki son bu işleme fark edene kadar. Son bu işlemde de aslında nat üzerindeki yönlendirmeyi halen iptal etmedim aslında. wan da ki belirttiğim portu komple silip yeniden bloklayıp ekleyince saldırının durduğunu gördüm. İçerdeki bağlantıya gelince; Burdaki bağlantılarım daimi olarak her zaman kullanılıyordu ve devam ediyor.

Diğer açıklamalarda belirttiğiniz durumları da anladım. Tavsiyeleriniz olursa uygulamaya hazırım. Verdiğiniz bilgiler için teşekkürler.

CevapAlıntı
Gönderildi : 21/11/2018 12:52
Paylaş: