Jump to content
Sign in to follow this  
HeroX

Event 1006 - The system may be under attack

Recommended Posts

Καλησπέρα σας,

 

Έχω ένα VM με Windows Server 2012 και στημένη μια βάση δεδομένων. Το μηχάνημα έχει πάνω Bitdefender Endpoint Security, σεταρισμένο με κωδικό για προστασία απεγκατάστασης, και φυσικά όλα τα important security updates των windows.

 

Πρόσφατα παρατήρησα ένα παράξενο σφάλμα στον Event Viewer και από τα συμφραζόμενα καταλαβαίνω ότι σε περίεργες ώρες κάποιος προσπαθεί να μπει με RC.

 

Screenshot_1.png

 

Έχω ενεργοποιήσει την επιλογή για περιορισμό πρόσβασης σε υπολογιστές με NLA, που πριν δεν ήταν ενεργή, και πρόσβαση έχουν μόνο Domain Admins.

 

Screenshot_2.png

 

Υπάρχει σοβαρός λόγος ανησυχίας; Τι ενέργειες πρέπει να κάνω για να θωρακίσω παραπάνω το VM;

 

 

Edited by HeroX

Share this post


Link to post
Share on other sites

Γίνεται χαμός τώρα τελευταία με rdp hacks (και σε σοβαρά passwords και με όχι συνηθισμένα username) που συνοδεύονται από ransomware με το που καταφέρει ο καλοθελητής να πάρει access και τα av δεν καταφέρνουν τίποτα. Εγώ πλέον rdp ανοιχτό αφήνω μόνο αν ο server είναι πίσω από vpn.

Share this post


Link to post
Share on other sites

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

Share this post


Link to post
Share on other sites
23 minutes ago, swatoner said:

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

 

Το πρώτο πράγμα που θα κάνω είναι να βάλω rule στο firewall να κόψει όλα τα remote address που χτυπάνε στην 3389.

Για το Blueekeep δεν βλέπω κάτι που να αφορά Windows Server 2012

 

1 hour ago, Γιάννης_84 said:

Γίνεται χαμός τώρα τελευταία με rdp hacks (και σε σοβαρά passwords και με όχι συνηθισμένα username) που συνοδεύονται από ransomware με το που καταφέρει ο καλοθελητής να πάρει access και τα av δεν καταφέρνουν τίποτα. Εγώ πλέον rdp ανοιχτό αφήνω μόνο αν ο server είναι πίσω από vpn.

 

Άσε την έχω πατήσει και προσπαθώ να φυλαχθώ.

Share this post


Link to post
Share on other sites
πριν 11 ώρες, το μέλος swatoner έγραψε:

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

Ο τελευταίος που την έφαγε πριν κανα 2μηνο είχε πόρτα 40.χχχ δύσκολο και μεγάλο password, server 2012 r2 fully updated και username μη συνηθισμένο. Επίσης είχε πληρωμένο fsecure το οποίο ο hacker το έφαγε για πρωινό παρά το ότι ήταν password protected. Το τελευταίο πράγμα που κατέγραψε το log του ήταν ένα .exe κάπου στο appdata και μετά τίποτα. Ευτυχώς το backupdrive που ήταν χωρίς drive letter τη γλύτωσε.

 

Από τότε μόνο vpn.

Share this post


Link to post
Share on other sites

Υπάρχει κάποιο αξιόπιστο online port scanner; Έχω στήσει policy με 'Block port scans' και επιπλέον έχω κλείσει την 3389. Απλά θέλω να σιγουρευτώ.

Share this post


Link to post
Share on other sites

Γενικά καλό είναι εκτός από το να κόψουμε την είσοδο και να την περιορίσουμε, να κόψουμε και την έξοδο.

 

Υπάρχουν πολλά σενάρια που το tunneling για να συνδεθεί κάποιος έγινε από μέσα προς τα έξω.

Δηλαδή και να τρέξεις κάτι, να μην έχει πρόσβαση στο Internet το μηχάνημα για να δώσει report ότι την έφαγα.

 

Το θέμα security είναι μεγάλη κουβέντα και δε σταματά ποτέ.

Εμπειρικά θεωρώ ότι περιορίζεις αρκετά, έως πολύ με το να ξέρεις ακριβώς τι πρόσβαση χρειάζεσαι και να προσαρμόζεσαι αντίστοιχα.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.