|
взломали сервер | ☑ | ||
---|---|---|---|---|
0
denklu
17.07.17
✎
16:57
|
2008 1с7.7 RDP. без домена. Все лицензионное.
Заметил повышенную нагрузку, svchost.exe. посмотрел IP на которые он обращается - bitcoin miner. посмотрел журналы: от имени системы создается новая учетка, назначаются админские права, подключаются по RDP. загружают mimikatz, тут наконец срабатывает ESET и прибивает 3 различных варианта mimikatz. Далее десяток неудачных попыток входа под имеющимися учетками. выход. На следующий день запуск bitcoin miner. больше подозрительного ничего не вижу. IP, имя компьютера видны, но это Wireless network в Ногинске. Пока все проверяю, но ничего не трогаю, т.к. miner это самое безобидное, что могут сделать злоумышленники в данной ситуации. Сразу скажу моя квалификация невысокая, я на фирме "все-в-одном флаконе" и программист 1с и сисадмин, и ремонтник сейчас еще и менеджера подменяю. По теме: обновления все стоят, из интернета видны только измененный порт RDP и FTP. в локалке 6 компов (10-ка, 7-ка). 445 закрыть не могу (тогда не видно сервера), 135, 137, ... закрыты. запустил полную проверку eset, dr.web CureIt, касперский VRT. Кроме этого запущенного miner ничего не находят. у меня активна учетка Гость, но у нее доступ только у одной расшаренной папке. Поддержка ESET предположила, что это и есть "узкое место", через зараженный локальный компьютер. Сейчас проверяю остальные локальные компы. Если это было бы действительно единственным узким местом был бы очень рад, но сомневаюсь. бэкапы делаются и на внешний и в облако. но если после перезагрузки все зашифруется, мне мало все-равно не покажется. Посоветуйте, как и что еще можно проверить. ссылки почитать, желательно поконкретнее и по-русски. |
|||
1
arsik
гуру
17.07.17
✎
17:00
|
RDP снаружи еще и гость включен. Круто.
|
|||
2
ДемонМаксвелла
17.07.17
✎
17:01
|
традиционно - позовите специалиста
|
|||
3
lodger
17.07.17
✎
17:02
|
||||
4
troekurov1991
17.07.17
✎
17:03
|
(0) Беги, Форест, беги
|
|||
5
XMMS
17.07.17
✎
17:04
|
А роутер у вас случаем не могли взломать?
|
|||
6
ДемонМаксвелла
17.07.17
✎
17:09
|
Доступ злоумышленниками уже получен, и это равносильно начавшемуся пожару.
Время для "пока все проверяю, но ничего не трогаю" вышло |
|||
7
volfy
17.07.17
✎
17:17
|
Я может и не прав, но поступаю в таких случаях в стиле удалил и забыл
|
|||
8
lubitelxml
17.07.17
✎
17:21
|
заплатите нормальному админу - пусть настроить хотя бы 1 раз нормально
|
|||
9
sitex
naïve
17.07.17
✎
17:21
|
(0) Почитать как поставить и настроить бронебойный firewall, ссылок в инете полно.
|
|||
10
Вафель
17.07.17
✎
17:22
|
обновления то все стоят на винду?
|
|||
11
denklu
17.07.17
✎
17:25
|
Смотрю, ни чего не меняется, люди у нас все такие же "добрые".
(1) Гость есть, но у него не было прав на RDP. да и пользователь создавался не из под RDP а от имени системы с вх (2) я вчера получил часть ЗП за май, так что платить кому-то мне очень тяжело. (5) могли и роутер сломать, но как это понять и что это меняет (10) обновления все стоят |
|||
12
volfy
17.07.17
✎
17:41
|
(11) не борись с ветряной мельницей, обеззараженных компов сейчас почти нет, удали его. Я сомневаюсь что он снова там появится.
|
|||
13
volfy
17.07.17
✎
17:42
|
(11) Сбербанки, РЖД, Аэрофлоты ловят вирусы, куда уж тут пытаться маленькую конторку на все 100% защитить.. За это время больше другого полезного сделаешь, главное бэкапы делай =)
|
|||
14
YFedor
17.07.17
✎
17:44
|
Запретить всем пользователям запускать любые программы, кроме перечисленных. Этим ты снизишь уровень опасности заражения сервера изнутри
|
|||
15
volfy
17.07.17
✎
17:46
|
(14) ну самый популярный вход - почта...
|
|||
16
lodger
17.07.17
✎
17:47
|
(13) ну тащем-то, чем меньше организация и чем больше гестаповских порядков у ИТ-службы, тем проще защитить конторку.
|
|||
17
YFedor
17.07.17
✎
17:47
|
(15) и что. в почте вложение - вирус скрипт или ехе ... а запустить его не смогут
|
|||
18
volfy
17.07.17
✎
17:49
|
(17) читаем (13) =) Все они его запустили... Не важно есть там права админа или нет
|
|||
19
Вафель
17.07.17
✎
17:49
|
(17) почему не смогут? ты белые списки используешь?
|
|||
20
romix
17.07.17
✎
18:03
|
Бэкапы можно пробно восстановить куда-нибудь...
|
|||
21
YFedor
17.07.17
✎
18:09
|
(19) Конечно, я же сказал в (14).
(18) Сейчас уже да - я на будущее |
|||
22
NorthWind
17.07.17
✎
18:15
|
(0) Настройте VPN и все доступы давайте только внутри нее. Открытых портов не держите вообще, если в этом нет жизненной, прямо-таки железобетонной необходимости. В прочих случаях VPN-клиент и после установки туннеля делайте что хотите.
|
|||
23
NorthWind
17.07.17
✎
18:17
|
понятное дело, что VPN-клиент должен быть с серьезной авторизацией, в идеале с сертификатами, каждый из которых имеет ограниченное время жизни и может быть снят с доверия в любой момент. И давать доступ кому попало не следует.
|
|||
24
denklu
17.07.17
✎
18:22
|
(14) "Запретить всем пользователям запускать любые программы" попробую, у меня вообще только 1с в режиме remoteApp, вот если бы запретить удаленный рабочий стол.
Хотя вражеская учетка и ее права создавались безо всякого RDP. вот эта статья меня еще больше напугала http://itband.ru/2009/11/remote-execution/ и это 8 лет назад. а так сейчас делаю из обычного компа дублера сервера. и завтра буду чиститься и перезагружаться. VPN пробовал, но были проблемы, поэтому не довел до конца. С другой стороны если взлом произошел из локалки, то VPN на мой взгляд тоже не поможет. |
|||
25
NorthWind
17.07.17
✎
18:25
|
(24) из локалки вообще мало что поможет. Только очень жесткое ограничение прав и белый список на программы.
|
|||
26
NorthWind
17.07.17
✎
18:27
|
и конечно же, бэкап
|
|||
27
NorthWind
17.07.17
✎
18:32
|
(24) в статье ничего дико страшного нет, кстати. У атакующего не должно быть прав на атакуемой машине на запуск программ. Поднять права - отдельная очень и очень непростая тема, для этого приходится эксплуатировать дыры, которых не так уж много и не так уж часто удается ими воспользоваться.
|
|||
28
ДемонМаксвелла
17.07.17
✎
18:37
|
(11) Платить должна контора, а не ты. Разумеется.
И не надо бояться признать свой (или не свой) косяк, или что чего-то не знаешь. Затягивая решение ты только делаешь хуже. |
|||
29
denklu
17.07.17
✎
19:04
|
позвонил в http://www.evek.ru Электронный век.
вроде цена по проверке безопасности не сильно заоблачная, платить буду сам. никто не сталкивался с этой конторой? |
|||
30
Garykom
гуру
17.07.17
✎
19:07
|
(0)
1. Голый RDP ломается, даже накатывание всех патчей вовремя не спасет, хоть тупым перебором доломают если защита/блокировка не стоит от брутфорса. 2. Закрывать порты надо на роутере, а не на сервере, но и это не спасет от слома роутера. 3. Поднятие VPN (с отрубанием всего прочего) увеличивает надежность что не сломают. |
|||
31
NorthWind
17.07.17
✎
19:08
|
(29) ну да, цена не заоблачная, за эту цену вы услышите слово "плохо". Следующий вопрос будет - как сделать хорошо. И вот тут-то цена будет уже другая :)
|
|||
32
denklu
17.07.17
✎
19:15
|
так перебора почти и не было, пробежались по двум учеткам, одна,кстати, заблокировалась, после 5 неправильных паролей. беспокоит что имя учетки правильное(хотя и сложное), то есть список пользователей они уже увидели.
|
|||
33
craxx
17.07.17
✎
19:16
|
(0) 2008 даже не R2? ну я вас поздравляю!
у моих клиентов в марте ломанули такой же 2008, через одну шикарнейшую дырку, когда винлогон падал на залипании шифта (пятикратное нажатие), и позволял выбрать отладчик. ну ты выбирал ессно cmd, и после этого тачка была полностью в твоих руках. так как cmd запускался от имени системы, соотв. можно было из командной строки завести любого юзверя с любыми правами. |
|||
34
denklu
17.07.17
✎
19:19
|
кстати, в программе и библиотеках которые они мне закачали частенько фигурирует "Kali".
Википедия: Kali Linux - ..... Предназначен прежде всего для проведения тестов на безопасность. |
|||
35
denklu
17.07.17
✎
19:22
|
(33) 2008 R2 standart. ну так это же нужно физический доступ к серверу доступ иметь. а я в единственном лице и ключи от шкафчика только у меня и у директора.
|
|||
36
craxx
17.07.17
✎
19:27
|
(35) через RDP ломается же. поди и порт стандартный установлен 3389?
|
|||
37
mistеr
17.07.17
✎
19:29
|
(0) Примерный план действий.
Сохранить базы и прочие данные. Снять образ системы (на случай если интересно потом покопаться). Переставить систему Пропатчить систему. Настроить систему. RDP только с сертификатами, фаервол, аудит и т.д. Поставить и настроить весь софт. Настроить бэкапы. Самый главный пункт. Настроить политики ограниченного использования программ. Предварительно изучить матчасть. Протестировать все. Пустить юзверей. Ну и быть готовым, что в следующий раз загрузят не майнер, а шифровальщик. Отработать сценарий восстановления. По итогам написать пост на Хабре и заработать кармы. |
|||
38
craxx
17.07.17
✎
19:32
|
(37) vpn либо вход только с разрешенных айпишников.
я бы выбрал второе. в данной ситуации |
|||
39
mistеr
17.07.17
✎
19:41
|
(38) Если бы работали только из локалки, то да, второе. Но работают и через интернет, поэтому сертификаты.
|
|||
40
denklu
17.07.17
✎
19:44
|
а как быть в локальной сети? там полюбому все разрешены.
м ожет кто знает в каких случаях пользователь создается от SubjectUserSid S-1-5-18 |
|||
41
Дебет
18.07.17
✎
03:04
|
только выпускаешь РДП наружу и начинается скан портов и буртфорс
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |