Forum

Server 2012 R2 aşır...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Server 2012 R2 aşırı trafik sorunu

11 Yazılar
3 Üyeler
2 Likes
691 Görüntüleme
Bahri Yılmaz
(@turkteknoloji)
Gönderiler: 41
Trusted Member
Konu başlatıcı
 

merhabalar,

geçtiğimiz cumartesi günü datacenter firmasından aradılar ve sunucumuzun aşırı trafik çektiği ile ilgili bir bilgilendirme yaptılar kontrol etmemizi istediler. Server 2012 R2 olan sunucuda trafik kontrol ettiğimde şöyle bir görüntü ile karşılaştım bunlar bizim tarafımızdan kullananlar değil bunların dışarıya çıkışlarını nasıl yasaklaya bilirim? bu bize haliyle fazla trafik çektiği için kabarık bir fatura getirecek bu konuda bilgilerinize ihtiyacım var şimdiden çok teşekkürler

 

trafiksorunu
 
Gönderildi : 02/03/2020 11:38

CumhurAltan
(@cumhuraltan)
Gönderiler: 701
Üye
 

Selamlar ,

Sunucunuz  Firewall arkasında mı  çalışıyor  yoksa direkt  interneten açık durumda mı ? Datacenter firmanızın  size  sağladığı  trafik  durumunu  göreceğiniz  bir  panel  vb  bulunuyor mu ?

 

Bu arada öncelikle  sunucu üzerinde  virus  ve malware  taramasını yapın ve  sunucunun tüm windows  updatelerinin  yapıldığından emin olun.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 02/03/2020 15:13

Bahri Yılmaz
(@turkteknoloji)
Gönderiler: 41
Trusted Member
Konu başlatıcı
 

@cumhuraltan direk internete çıkıyor herhangi bir panel yok muhtemelen onların bir paneli vardır fazla trafik çektiğini gördüklerine göre.. ama bizim tarafımızda her hangi bir panel yok ekte bilginize sunulan network trafik alanında yabancı ip adresleri çok ciddi bir trafik kullanıyor bunları durdurmam gerekiyor. Server sadece RDP olarak kullanıyoruz belki bu bilgi işimizi biraz daha kolaylaştırır

 

 
Gönderildi : 02/03/2020 15:21

CumhurAltan
(@cumhuraltan)
Gönderiler: 701
Üye
 

Selamlar @turkteknoloji 

 

Sunucunuz  direkt public  erişimine  açık ve  aynı  zamanda  Rdp kullanıyorsanız çok yanlış  bir  yapılandırma  içerisindesiniz. Rdp  erişimleri  firewall arkasında  bile  güvenli  değilken public  bir  sunucuda  açmak  oldukça  riskli. 

Sunucunuz  yüksek ihtimalle  zombi  durumunda  ve  ddos yapıyor.

Yapmanız  gerekenler  

* Sunucuda detaylı bir  zararlı yazılım  taraması  yaptırın . Virus ve  malware  taraması 

* Sunucunuzu Firewall  arkasında  çalıştırın  internet  erişimi Direkt  sunucuya  değil Firewall a  olsun.

* Rdp  erişimleriniz  mutlaka  ama  mutlaka vpn  yapılarak olsun 3389  portu public  olarak  açık OLMAMALI.

* Yeni  bir  sunucu  ise Firewall ve  vpn yapılandırması  sonrasında  sunucuyu  formatlayıp  temiz  bir  kurulum   sonrasında  hizmete  açın .

 

* Sunucu  marka  ve  modeli  nedir Vmware  yapılandırması  ile Vmware  üzerinde  sanal  firewall yapılandırarak Firewall  arkasında  çalıştırabililrsiniz  sunucunuz.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 02/03/2020 15:37

Bahri Yılmaz
(@turkteknoloji)
Gönderiler: 41
Trusted Member
Konu başlatıcı
 

@cumhuraltan cevabınız için teşekkürler ama RDP arkasında firewall aktif, portlar 3389 portları değil, uzak bağlantı için vpn'den daha güvenli bankaların sistemlerindeki gibi rdp sms ile giriş mevcut yani RDP tarafımızla ilgili her hangi bir sıkıntımız yok. Tek sıkıntımız ilk mesajda gönderdiğim bazı ipler var benim sunucumdan internete çıkıyor bunları nasıl bloklaya bilirim?

 

 
Gönderildi : 02/03/2020 16:09

CumhurAltan
(@cumhuraltan)
Gönderiler: 701
Üye
 

Selamlar  @turkteknoloji ,

Sunucunuzda  sağlam bir  virus ve  malware  taraması yapın mümkün  ise formatlayıp  yeniden  kurun sonrasında  public  olarak  internet ortmanında  bulundurmayın mutlaka  bir  firewall arkasında  kullanının  sunucunuzu.

 

"  RDP arkasında firewall aktif "  bu kısmı  tam anlayamadım Firewall Rdp erişiminin  önünde  olması  gerekir  yani  önce  firewall a  uğrayıp vpn vb  güvenli  authentication  sağlandıktan sonra  rdp erişimi  olmalıdır. Rdp portunu  değiştirmek ise  sadece zamanı uzatır  herhangi bir  gücenlik  sağlamaz.  Zaten Firewall arkasında  olmadan sunucuyu  direkt  public internet  ortamında  host  ederseniz 2012 r2  üzerindeki  gücenlik açıklarından  dolayı sunucunuzun  zombi  bilgisayara  dönüşmesi  oldukça  doğal  bir  durum. Gerekli  güvenlik altyapısını  oluşturmadan zaten engelleyemezsinizi. Sunucuyu  formatlayıp yeniden  kursanız  bile  aynı  şekilde  sunucunuz  zombiye  dönüşecektir.

 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 02/03/2020 16:38

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 31968
Illustrious Member Yönetici
 

Merhaba,

Okumanızda fayda var

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/03/2020 21:29

Bahri Yılmaz
(@turkteknoloji)
Gönderiler: 41
Trusted Member
Konu başlatıcı
 
Gönderen: @hakanuzuner

Merhaba,

Okumanızda fayda var

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Merhaba Hakan bey, yazınızı okudum bilgi paylaşımınız için çok teşekkür ederim ve gerçekten çok işime yaradı 240 mbps kullanılan trafiği 40 Mbps kadar düşürdüm ama hala server tarafında ve benim internetimi kullanan bazı zararlı yazılımlar var lisanslı antivirüs programları ile taratmama rağmen bunlarla ilgili hiçbir işlem yapamıyor ve yetersiz kalıyorlar

ekte bilgi ve incelemeniz açısından server tarafında trafiğin artışına neden olan bazı ip adresleri var bunların önüne nasıl geçebilirim?

attack

 

 
Gönderildi : 05/03/2020 09:10

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 31968
Illustrious Member Yönetici
 

Bence artık o makineden hayır gelmez, yani av olması önemli değil bir şekilde sisteme sızdılar ise artık onu söküp atmak çok zor, kullandığınız tüm şifreleri değiştirip yeniden bir sistem kurmanızı öneririm veya uzman birisinden destek alın. Birde tasarımınızı kontrol ettirin yani neden böyle bir atak yediniz belki tasarımda da hatalar olabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/03/2020 09:42

Bahri Yılmaz
(@turkteknoloji)
Gönderiler: 41
Trusted Member
Konu başlatıcı
 

Merhabalar, bu attack saldırılarının çözümünü 48 saat sonra tam yerini buldum ve durdurmayı başardım bu sorun için server tarafında aşırı yoğun işler yapan firmaların serverlerini formatlaması çok mantıklı gelmediği için virüsü durdurmak daha kolay...

bu tür işlemlerde ip adreslerine atak düzenleyen saldırıların kullandığı portları firewall tarafından blok ettikten 10 dk. sonra tüm saldırılar kesiliyor ve server tarafındaki tüm işlemleri bitiyor genelde lsass.exe 389 port üzerinden işlem yaptırıyor ve network tarafında 320 Mbps bir tarafik oluşturuyor port ve ip bloklama işlemi sonrası 40 kullanıcı aynı ayna bağlandığında dahi 152 Kbps bir trafik kullanmaya başladı.

Çözümü: trafiği kullanan uygulama seçildikten sonra orada kullanılan tüm portların firewall tarafında giriş ve çıkışları "any" olarak bloklayın, AV programınız tarafında sizin kullandığınız programların portları haricinde diğer portları da kapatın saldırılar %100 tam ve kesin olarak çözüm sağlamış olacaksınız.

image

attack

image
 
Gönderildi : 09/03/2020 09:11

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 31968
Illustrious Member Yönetici
 

Bahri Bey Amerikayı yeniden keşfetmişsiniz, dönüş için teşekkürler ama zaten bu işin doğasında tüm portlar kapalı gelir, 3389 açık olan sistemler görmüştüm ama LDAP portu dışarıya açık bir sistem çok uzun bir süredir görmemiştim. Keşke baştan tüm portların açık olduğunu söyleseydiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/03/2020 09:25

Paylaş: