Anasayfa » Forum

Windows Server Hack...
 

[Çözüldü] Windows Server Hack Sorunu  

  RSS
Cihan yıldırım
(@cihanyldrm)
Üye

Öncelikle selamlar , daha önceden windows server 2008 R2 kullandığımız bilgisayara giren kişiler dosyaları şifreleyip para istemişti.

Biz bu sunucuyu komple değişip, server 2012 datacenter kurduk ve yine aynı sorunla karşılaştık.

Güvenlik duvarı aktif, güncellemeleri yapıyoruz. Uzaktan sadece 3389 portu ile şifreli olarak bağlanıyoruz. Kişi Mysql yedeklerini şifrelemiş 1000 dolar istiyor. Biz şimdi serveri formatladık nasıl bir güvenlik önlemi alabiliriz. Bu serverin bağlı olduğu internete 30 dan fazla kullanıcı acces point ile bağlanıyor. Serverde şifre mevcut ama genede hack yedik.

Yardımlarınız için şimdiden teşekkür ederim.

Alıntı
Gönderildi : 30/11/2019 16:17
Kadir Türker
(@kadirturker)
Üye

Merhaba,

Öncelikle geçmiş olsun.

  • RDP portunuzu değiştirin. Örn ; 39753
  • Yeni bir administrator hesabı oluşturun ve varsayılan administrator hesabını devre dışı bırakın. Oluşturduğunuz administrator hesabının adı karışık olsun. Örn; RDP92-5c 
  • Şifrenizi çok güçlü hale getirin ve çok karışık olsun.  Örn; ?/|s2vR'9d;NPpT|
  • Bağlanacak kullanıcıların IP adresleri sabit ise, firewall kuralına sadece bu ip adreslerinden bağlantı gelecek şekilde kural oluşturun.
  • Bağlanacak kullanıcılara user yetkisi verin. Administrator yetkisi kesinlikle vermeyin. 
  • VPN kullanın
  • Antivirüs kullanın ve bu antivirüsü kaldırabilmek için mutlaka şifre girilmesi gereksin. Örn; Bitdefender GravityZone Advanced Business Security
  • Verilerinizi günlük olarak yedekleyin. Aldığınız yedeğin de yedeğini alarak sistem dışına çıkarın.
  • Ip bloklarını ayırın ve bloklar arasında belirli portlara giriş izni verin. Örneğin; Sunucular 192.168.0.X - Kullanıcılar 192.168.1.X

https://www.cozumpark.com/rdp-ataklar-icin-kritik-onlemler/

Bu ileti 6 gün önce Hakan Uzuner tarafından düzenlendi
CevapAlıntı
Gönderildi : 30/11/2019 18:56
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Aslında aynı şekilde iki kez sorun yaşamanıza rağmen hala RDP' den vazgeçmiyor olmanız ilgin.

RDP dışarıya açık olduğu sürece benim yazdığım makale dahil aslında kesin bir çözüm olmaz.

Bu işin tek bir kesin çözümü vardır VPN. Yani 3389 nolu port kesinlikle dışarıya doğrudan açık olmamalı, herkes VPN ile network e girmeli ondan sonra rdp yapmalı.

VPN için de mutlaka MFA, 2FA kullanmalısınız yani VPN için bile SMS ile doğrulama yapın, güncel pek çok firewall bu konuda destek sunuyor.

Ama bunu yapamıyorsanız bile en azından Kadir' in söylediği bir konu çok kritik, 3389 için source ip mutlaka yazarsan kötü niyetli kişiler bu port üzerinden size erişemezler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 30/11/2019 23:14
Cihan yıldırım
(@cihanyldrm)
Üye

@hakanuzuner

Öncelikle verdiğiniz bilgiler için teşekkür ederim.

Şimdi format attım bilgisayara RAİD kartı çalışıyor ama anakart bazen görüyor, bazen görmüyor. Raid sistemini iptal edip SSD taktım.

3389 uzak masaüstü portunu açmayı düşünmüyorum.

Ağdaki bağlanan 2 bilgisayara 2 adet kullanıcı açarak admin yetkisi vermeden kurmayı düşünüyorum.

 

CevapAlıntı
Gönderildi : 01/12/2019 12:35
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

En temizi bu, illa rdp açacaklarsa vpn ile bağlansınlar.

Şöyle düşünün bu bağlanacak kişilere sorun internet şubesine girerken sms ile giriş yapmak zorundalar mı değil mi? SMS olmaz soft token olur yani iki faktörlü kimlik doğrulama? Neden ona itiraz etmiyorlar? Çünkü para onların ve değerli, şirketler içinde veri = para demektir ve şirketlerde bunu zorunlu kılmalı.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/12/2019 12:39
Cihan yıldırım
(@cihanyldrm)
Üye

@hakanuzuner

Haklısınız Hocam şimdi serverde bir program kurulu 2 bilgisayar bu programının kısayolu ile kullanıyorlar.

Ben bu bağlanacak kişilere özel şifre ve yetkililer belirlemeyi düşünüyorum.

Bu SMS olayı hakkında windows server 2012 datacenter pek bilgim olmadığından nasıl yapılması gerektiğini bilmiyorum.

CevapAlıntı
Gönderildi : 01/12/2019 12:43
Erdem Yağlıkara
(@erdemyaglikara)
Üye

Merhaba,

RDP portunu any olarak kesinlikle dışarı açmayınız yoksa tekrardan hacklenmeniz çok uzun sürmeyecektir.

2 adımlı doğrulmayı windows server üzerinde değil firewall üzerinde tanımlamanız gerekiyor.

Bir önceki postunuzda vpn destekli modem linkleri gönderdik bunları incelemenizi tavsiye ederim.

 

 

CevapAlıntı
Gönderildi : 02/12/2019 11:03
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Eğer kullanıcılar şirket içerisinde ise zaten VPN ve RDP portu ile ilgili bir sorun olmamalı. Yani şirket içerisinde çalışan kullanıcılar için sunucuda RDP açarsın ama bunu firewall' dan yapmazsın. Firewall dan genelde açılan portların amacı dış dünyadan sistemlere bağlantı içindir. Eğer evlerine gidince de çalışmak istiyorlar ise bu durumda RDP portunu firewall' dan NAT ile değil VPN ile yapacaksınız.

Yani VPN ile network e girecekler sonra sunucuda RDP açık olduğu için bağlanacaklar.

2FA Erdem' in söylediği gibi VPN için sunucu için gerekli değil.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/12/2019 12:16
Cihan yıldırım
(@cihanyldrm)
Üye
Gönderen: @hakanuzuner

Eğer kullanıcılar şirket içerisinde ise zaten VPN ve RDP portu ile ilgili bir sorun olmamalı. Yani şirket içerisinde çalışan kullanıcılar için sunucuda RDP açarsın ama bunu firewall' dan yapmazsın. Firewall dan genelde açılan portların amacı dış dünyadan sistemlere bağlantı içindir. Eğer evlerine gidince de çalışmak istiyorlar ise bu durumda RDP portunu firewall' dan NAT ile değil VPN ile yapacaksınız.

Yani VPN ile network e girecekler sonra sunucuda RDP açık olduğu için bağlanacaklar.

2FA Erdem' in söylediği gibi VPN için sunucu için gerekli değil.

Şimdi Hakan hocam aynı ağ üzerinde 2 tane bilgisayar programı kullanacak.

Farklı ilde olan kişide servere bağlanıp, server üzerinden programı kullanacak

VPN destekli bir modem alcam, Bu modem servere ve diğer swiftclere bağlı olacak.

Genelde sorunum 3389 portunu açtığım için devamlı hack yemem

Modem öneriniz varsa sevinirim.

CevapAlıntı
Gönderildi : 02/12/2019 13:37
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Draytek iyidir, modem olarak.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 02/12/2019 14:10
Cihan yıldırım
(@cihanyldrm)
Üye

@hakanuzuner

Aynen hocam fiyatları biraz yüksek.

Alt kısımdaki modemi alsam işimi görür mü ?

Zyxel VMG3312-B10A v2 300Mbps Kablosuz 4-Port 2x5dBi 2xIPSec VPN 1xUSB WPS Gigabit EWAN Fiber Destekli VDSL2/ADSL2+ Modem/Router

CevapAlıntı
Gönderildi : 02/12/2019 14:20
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi
Gönderen: @cihanyldrm

@hakanuzuner

Aynen hocam fiyatları biraz yüksek.

Alt kısımdaki modemi alsam işimi görür mü ?

Zyxel VMG3312-B10A v2 300Mbps Kablosuz 4-Port 2x5dBi 2xIPSec VPN 1xUSB WPS Gigabit EWAN Fiber Destekli VDSL2/ADSL2+ Modem/Router

Selamlar @cihanyldrm,

 

O ürün ile client vpn  özelliği  mevcut  değil Draytek ürünleri  oldukça  ucuzdur ( Marifetleri ile  kıyaslayınca.  Gönderdiğiniz  ürün sadece  2  adet  site  to site  vpn  tüneli  kurabilen  basit  bir  cihaz ) Ev  için  değil  ise  Zyxell , tplink vb  markalara çok  yaklaşmama  taraftarıyım günün  sonunda cebinizden  çıkan  para  her  zaman  daha  fazla  oluyor.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 02/12/2019 17:57
Paylaş:

Lütfen Giriş yap yada Kayıt ol