Вход | Регистрация


Информационные технологии ::

Метки:

взломали сервер

Я
   denklu
 
17.07.17 - 16:57
2008 1с7.7 RDP. без домена. Все лицензионное.
Заметил повышенную нагрузку, svchost.exe. посмотрел IP на которые он обращается - bitcoin miner. посмотрел журналы: от имени системы создается новая учетка, назначаются админские права, подключаются по RDP. загружают mimikatz, тут наконец срабатывает ESET и прибивает 3 различных варианта mimikatz. Далее десяток неудачных попыток входа под имеющимися учетками. выход. На следующий день запуск bitcoin miner. больше подозрительного ничего не вижу. IP, имя компьютера видны, но это Wireless network в Ногинске.
Пока все проверяю, но ничего не трогаю, т.к. miner это самое безобидное, что могут сделать злоумышленники в данной ситуации.
Сразу скажу моя квалификация невысокая, я на фирме "все-в-одном флаконе" и программист 1с и сисадмин, и ремонтник сейчас еще и  менеджера подменяю.
По теме: обновления все стоят, из интернета видны только измененный порт RDP и FTP. в локалке 6 компов (10-ка, 7-ка).
445 закрыть не могу (тогда не видно сервера), 135, 137, ... закрыты. запустил полную проверку eset, dr.web CureIt, касперский VRT. Кроме этого запущенного miner ничего не находят.
у меня активна учетка Гость, но у нее доступ только у одной расшаренной папке. Поддержка ESET предположила, что это и есть "узкое место", через зараженный локальный компьютер. Сейчас проверяю остальные локальные компы.
Если это было бы действительно единственным узким местом был бы очень рад, но сомневаюсь. бэкапы делаются и на внешний и в облако. но если после перезагрузки все зашифруется, мне мало все-равно не покажется.
Посоветуйте, как и что еще можно проверить. ссылки почитать, желательно поконкретнее и по-русски.
 
  Рекламное место пустует
   arsik
 
1 - 17.07.17 - 17:00
RDP снаружи еще и гость включен. Круто.
   ДемонМаксвелла
 
2 - 17.07.17 - 17:01
традиционно - позовите специалиста
   lodger
 
3 - 17.07.17 - 17:02
   troekurov1991
 
4 - 17.07.17 - 17:03
(0) Беги, Форест, беги
   XMMS
 
5 - 17.07.17 - 17:04
А роутер у вас случаем не могли взломать?
   ДемонМаксвелла
 
6 - 17.07.17 - 17:09
Доступ злоумышленниками уже получен, и это равносильно начавшемуся пожару.

Время для "пока все проверяю, но ничего не трогаю" вышло
   volfy
 
7 - 17.07.17 - 17:17
Я может и не прав, но поступаю в таких случаях в стиле удалил и забыл
   lubitelxml
 
8 - 17.07.17 - 17:21
заплатите нормальному админу - пусть настроить хотя бы 1 раз нормально
   sitex
 
9 - 17.07.17 - 17:21
(0) Почитать как поставить и настроить бронебойный firewall, ссылок в инете полно.
   Вафель
 
10 - 17.07.17 - 17:22
обновления то все стоят на винду?
 
  Рекламное место пустует
   denklu
 
11 - 17.07.17 - 17:25
Смотрю, ни чего не меняется, люди у нас все такие же "добрые".
(1) Гость есть, но у него не было прав на RDP.
да и пользователь создавался не из под RDP а от имени системы с вх
(2) я вчера получил часть ЗП за май, так что платить кому-то мне очень тяжело.
(5) могли и роутер сломать, но как это понять и что это меняет
(10) обновления все стоят
   volfy
 
12 - 17.07.17 - 17:41
(11) не борись с ветряной мельницей, обеззараженных компов сейчас почти нет, удали его. Я сомневаюсь что он снова там появится.
   volfy
 
13 - 17.07.17 - 17:42
(11) Сбербанки, РЖД, Аэрофлоты ловят вирусы, куда уж тут пытаться маленькую конторку на все 100% защитить.. За это время больше другого полезного сделаешь, главное бэкапы делай =)
   YFedor
 
14 - 17.07.17 - 17:44
Запретить всем пользователям запускать любые программы, кроме перечисленных. Этим ты снизишь уровень опасности заражения сервера изнутри
   volfy
 
15 - 17.07.17 - 17:46
(14) ну самый популярный вход - почта...
   lodger
 
16 - 17.07.17 - 17:47
(13) ну тащем-то, чем меньше организация и чем больше гестаповских порядков у ИТ-службы, тем проще защитить конторку.
   YFedor
 
17 - 17.07.17 - 17:47
(15) и что. в почте вложение - вирус скрипт или ехе ... а запустить его не смогут
   volfy
 
18 - 17.07.17 - 17:49
(17) читаем (13) =) Все они его запустили... Не важно есть там права админа или нет
   Вафель
 
19 - 17.07.17 - 17:49
(17) почему не смогут? ты белые списки используешь?
   romix
 
20 - 17.07.17 - 18:03
Бэкапы можно пробно восстановить куда-нибудь...
   YFedor
 
21 - 17.07.17 - 18:09
(19) Конечно, я же сказал в (14).
(18) Сейчас уже да - я на будущее
   NorthWind
 
22 - 17.07.17 - 18:15
(0) Настройте VPN и все доступы давайте только внутри нее. Открытых портов не держите вообще, если в этом нет жизненной, прямо-таки железобетонной необходимости. В прочих случаях VPN-клиент и после установки туннеля делайте что хотите.
   NorthWind
 
23 - 17.07.17 - 18:17
понятное дело, что VPN-клиент должен быть с серьезной авторизацией, в идеале с сертификатами, каждый из которых имеет ограниченное время жизни и может быть снят с доверия в любой момент. И давать доступ кому попало не следует.
   denklu
 
24 - 17.07.17 - 18:22
(14) "Запретить всем пользователям запускать любые программы" попробую, у меня вообще только 1с в режиме remoteApp, вот если бы запретить удаленный рабочий стол.
Хотя вражеская учетка и ее права создавались безо всякого RDP.
вот эта статья меня еще больше напугала
http://itband.ru/2009/11/remote-execution/
и это 8 лет назад.
а так сейчас делаю из обычного компа дублера сервера. и завтра буду чиститься и перезагружаться.
VPN пробовал, но были проблемы, поэтому не довел до конца.
С другой стороны если взлом произошел из локалки, то VPN на мой взгляд тоже не поможет.
   NorthWind
 
25 - 17.07.17 - 18:25
(24) из локалки вообще мало что поможет. Только очень жесткое ограничение прав и белый список на программы.
   NorthWind
 
26 - 17.07.17 - 18:27
и конечно же, бэкап
   NorthWind
 
27 - 17.07.17 - 18:32
(24) в статье ничего дико страшного нет, кстати. У атакующего не должно быть прав на атакуемой машине на запуск программ. Поднять права - отдельная очень и очень непростая тема, для этого приходится эксплуатировать дыры, которых не так уж много и не так уж часто удается ими воспользоваться.
   ДемонМаксвелла
 
28 - 17.07.17 - 18:37
(11) Платить должна контора, а не ты. Разумеется.

И не надо бояться признать свой (или не свой) косяк, или что чего-то не знаешь. Затягивая решение ты только делаешь хуже.
   denklu
 
29 - 17.07.17 - 19:04
позвонил в http://www.evek.ru Электронный век.
вроде цена по проверке безопасности не сильно заоблачная, платить буду сам.
никто не сталкивался с этой конторой?
   Garykom
 
30 - 17.07.17 - 19:07
(0)
1. Голый RDP ломается, даже накатывание всех патчей вовремя не спасет, хоть тупым перебором доломают если защита/блокировка не стоит от брутфорса.
2. Закрывать порты надо на роутере, а не на сервере, но и это не спасет от слома роутера.
3. Поднятие VPN (с отрубанием всего прочего) увеличивает надежность что не сломают.
   NorthWind
 
31 - 17.07.17 - 19:08
(29) ну да, цена не заоблачная, за эту цену вы услышите слово "плохо". Следующий вопрос будет - как сделать хорошо. И вот тут-то цена будет уже другая :)
   denklu
 
32 - 17.07.17 - 19:15
так перебора почти и не было, пробежались по двум учеткам, одна,кстати, заблокировалась, после 5 неправильных паролей. беспокоит что имя учетки правильное(хотя и сложное), то есть список пользователей они уже увидели.
   craxx
 
33 - 17.07.17 - 19:16
(0) 2008 даже не R2? ну я вас поздравляю!
у моих клиентов в марте ломанули такой же 2008, через одну шикарнейшую дырку, когда винлогон падал на залипании шифта (пятикратное нажатие), и позволял выбрать отладчик. ну ты выбирал ессно cmd, и после этого тачка была полностью в твоих руках. так как cmd запускался от имени системы, соотв. можно было из командной строки завести любого юзверя с любыми правами.
 
  Рекламное место пустует
   denklu
 
34 - 17.07.17 - 19:19
кстати, в программе и библиотеках которые они мне закачали частенько фигурирует "Kali".
Википедия: Kali Linux - ..... Предназначен прежде всего для проведения тестов на безопасность.
   denklu
 
35 - 17.07.17 - 19:22
(33) 2008 R2 standart. ну так это же нужно физический доступ к серверу доступ иметь. а я в единственном лице и ключи от шкафчика только у меня и у директора.
   craxx
 
36 - 17.07.17 - 19:27
(35) через RDP ломается же. поди и порт стандартный установлен 3389?
   mistеr
 
37 - 17.07.17 - 19:29
(0) Примерный план действий.

Сохранить базы и прочие данные.
Снять образ системы (на случай если интересно потом покопаться).
Переставить систему
Пропатчить систему.
Настроить систему. RDP только с сертификатами, фаервол, аудит и т.д.
Поставить и настроить весь софт.
Настроить бэкапы.
Самый главный пункт. Настроить политики ограниченного использования программ. Предварительно изучить матчасть.
Протестировать все.
Пустить юзверей.

Ну и быть готовым, что в следующий раз загрузят не майнер, а шифровальщик. Отработать сценарий восстановления.

По итогам написать пост на Хабре и заработать кармы.
   craxx
 
38 - 17.07.17 - 19:32
(37) vpn либо вход  только с разрешенных айпишников.
я бы выбрал второе. в данной ситуации
   mistеr
 
39 - 17.07.17 - 19:41
(38) Если бы работали только из локалки, то да, второе. Но работают и через интернет, поэтому сертификаты.
   denklu
 
40 - 17.07.17 - 19:44
а как быть в локальной сети? там полюбому все разрешены.
м ожет кто знает в каких случаях пользователь создается от
SubjectUserSid S-1-5-18
   Дебет
 
41 - 18.07.17 - 03:04
только  выпускаешь РДП наружу и начинается скан портов и буртфорс



Список тем форума
Рекламное место пустует   Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует