Sayfa 1/3 123 SonSon
21 sonuçtan 1 ile 10 arası

Konu: Server 2008 hackendik

  1. #1

    Standart Server 2008 hackendik

    Merhaba, konu için doğru yer mi bilmiyorum ama yardıma ihtiyacım var.
    Server 2008 R2 serverimiz hacklendi ve içerisindeki tüm bilgiler yedek adında bir dosyada toplanmış ve açılması karşılığında ciddi bir ücret talep ediyorlar. Hack eden şahıs proxy kullanarak yapmış olsa gerek ki loglardaki ipler isviçre ve abd çıkıyor. Çözüm bulamadık..
    Bir de yedek aldığımız hdd cihazda takılı idi. hdd raw olarak düzenlenmiş. En azından buna bir çözüm bulabilir miyiz? Yardımlarınızı lütfen esirgemeyin. Teşekkürler
     

  2. #2

    Standart

    Merhaba,

    Bu tarz durumların pek çözümü bulunmuyor açıkçası. Şifreleyen kişi ile anlaşıp orta yolu bulmayı deneyin derim. 2 ay kadar önce bir firmada daha karşılaşmıştık ve malesef şifreleyen kişi ile para pazarlığı yapılmak zorunda kalınmıştı.

    Geçmiş olsun,

    Emre Aydın
    Emre Aydın
    MVP | Office 365 | Since 2006
    MCT | Since 2005
    MCSD | Azure Solutions Architect
    MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform
    MCSA | Office 365, Server 2012, Cloud Platform
    MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM
    P-Seller
    Intelligent Cloud | EMS
    Web : www.mshowto.org
    Mail : emre.aydin [@] mshowto.org
    Twitter : https://twitter.com/emreaydn
    Linkedin : tr.linkedin.com/in/emreaydn

  3. #3

    Standart

    konuyla ilgili olabildiğince detay paylaşmanız benzer durumda yaşananlar için tedbirsel davranışlarımızı gözden geçirmemizi sağlayacaktır.
    bu para isteme olayı size nasıl bildirildi? ekran görüntüsü vs. paylaşabilir misiniz ?
    2008r2 sanal sunucumu? olay ne zaman oldu?
     

  4. #4

    Standart

    Merhaba Arkadaşlar,
    Aynı problemi bende bir müşteride yaşadım. Sorunun temelinde internal networku önlem almadan public ortama açmaktan kaynaklanıyor. Müşterimiz kolaylık olsun diye internal makinelerinden birkaçına firewall üzerinden RDP portuna izin vermiş. Bu kurumun dış bacak ip adreslerini dinleyenler ise hangi portun açık olduğu port scanner programlar ile tarayıp görebiliyorlar. Bu noktada dikkat edilmesi gereken hususlardan biri, dışarıdan içeriye bağlantı yapılacaksa bunun RDP portu üzerinden değil Vpn tüneli üzerinden olmasına dikkat etmek gerekiyor.

    Geçmiş olsun prtkl48, backup aldığınız datayı da kaybettiyseniz Emre hocamın dediği gibi ortak bir noktada buluşmak zorunda kalıyorsunuz malesef.
    www.mshowto.org , Türkiye'nin En İyi Bilişim Portalı

  5. #5

    Standart

    Alıntı alibiricik Nickli Üyeden Alıntı Mesajı göster
    konuyla ilgili olabildiğince detay paylaşmanız benzer durumda yaşananlar için tedbirsel davranışlarımızı gözden geçirmemizi sağlayacaktır.
    bu para isteme olayı size nasıl bildirildi? ekran görüntüsü vs. paylaşabilir misiniz ?
    2008r2 sanal sunucumu? olay ne zaman oldu?
    Arkadaşın dediği gibi bizlerle daha detaylı bilgi paylaşırsan seviriz.

    Ayrıca sisteminiz de antivirüs, firewall gibi güvenlik varmıy dı?
    "Paylaşmak İçin Varız"

  6. #6

    Standart

    Merhaba arkadaşlar, cevaplar için teşekkürler.
    şimdi bu konu hakkında biraz bilgi edindim öncelikle onları sizlerle paylaşayım. bu işi yapanlar 2 farklı kategoride toplanıyor. birisi rus hackerlar diğer yeni yetmeler. ruslar hiçbir şekilde iz bırakmadan çalışıyorlar parayı offshore yaptırıyorlar. takip zorlaşıyor. yeni yetmeler bu işde ruslarla benzer hack yöntemleri kullanıyorlar ama iz bırakıyorlar.
    Müşterimin server sanırım yeni yetme birisi tarafından hacklenmiş. Serverdaki bilgilere bakmadan bizimle anlaşma yoluna gitti ve sadece 1500 tl para istedi. (server da 30-40 milyonluk cari bilgiler vardı). parayı ukash olarak istedi. Kupon aldık ve kuponların kodlarını adama ilettik. Şifrelediği klasörlerin şifresini gönderdi. 256 bit şifreleme yapmış ki gerçekten kırılması zor şifreler. Bilgilerimize ulaştık.
    Kupon detaylarını ve log kayıtlarını savcılık ile paylaşacağız.
    Gelelim güvenlik meselesine; siz de bilirsiniz ki zenginin cebinde akrep vardır. Başına gelmeden bu işlere yatırım yapmaz. (istisnalar kaideyi bozmaz) Bilgisayarda RDP portu açık, güvenlik sadece şifrelemeden ibaret. antivirus clientler da var ama server da yok. Modemin güvenlik duvarı ve log kayıtları kapalı. Yani bizim müşteri zaten biraz da kendisi aranmış 1 yıl kadar önce bilgi işlemine ben bakıyordum, fiyatım yüksek gelince başkası ile çalışmaya başlamıştı. Sonuç bu oldu.
     

  7. #7

    Standart

    Şimdi benim sizlerden naçizane isteğim, güvenliği arttırmak için neler yapabilirim. Aklımdakiler:
    Statik ip iptal ettireceğim ki zaten kullanılmıyor.
    Firewall donanım olarak temin etmeyi düşünüyorum. Araştıracağım.
    Serverın standart portlarını değiştireceğim.
    Antivirus kuracağım.
    Modem ve server da uzunca bir şifre kullanacağım.

    Daha neler yapılabilir ?
     

  8. #8

    Standart

    Bu liste uzar gider ama,

    Güvenlik konusunda danışmanlık veren bir firmadan danışmanlık hizmeti alın derim.

    Birde tüm işlerin başında Pentest yaptırın.

    Emre Aydın
    Emre Aydın
    MVP | Office 365 | Since 2006
    MCT | Since 2005
    MCSD | Azure Solutions Architect
    MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform
    MCSA | Office 365, Server 2012, Cloud Platform
    MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM
    P-Seller
    Intelligent Cloud | EMS
    Web : www.mshowto.org
    Mail : emre.aydin [@] mshowto.org
    Twitter : https://twitter.com/emreaydn
    Linkedin : tr.linkedin.com/in/emreaydn

  9. #9

    Standart

    Merhaba prtkl,
    Güvenlik çözümleri konusunda danışmanlık hizmeti almak isterseniz çalıştığım firma yardımcı olabilir
    www.mshowto.org , Türkiye'nin En İyi Bilişim Portalı

  10. #10

    Standart

    konuyla ilgili tespit RDP portunun açık olması mı ? yoksa sadece yorum mu? kesin bilgi var mı?
    Açık bir RDP portundan girmek bu kadar kolay olmasa gerek...
     

Yetkileriniz

  • Konu Açma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok
  •  
Hakkımızda
MSHOWTO, herhangi bir firma ya da kuruluş ile bağı olmayan bağımsız teknik bir topluluktur.
Sosyal Medya Linklerimiz