none
Mi sono entrati in windows server 2003 !!! ma come !??!?! RRS feed

  • Domanda

  • nella mia azienda con soli 3 pc, ho pensato di riabilitare il vecchio server 2003 che utilizzago anni fa come pc normale io.

    messo operativo a febbraio 2012 solo come server dati, con 3 cartelle condivise, ho pensato anche di abilitare terminal server in modo che a casa vedessi i miei files.

    ma ieri entrando come administrator mi trovo la password errata, per fortuna che il mio utente era come administratore ed ho potuto resettarla.rientrando come administrator, mi trovo sul desktop 3 cartelle non create da me, DUBrute vnc-scanner  nmap-scanner

    solo io della azienda potevo accedere il resto sono familiare e non avevano alcun motivo e competenza, perciò è stato un attacco da internet.ma come è perche???ho un firewall atlantis land con la sola porta aperta di navigazione e la 3389, il dyndns per avere il mio ip statico.

    ho messo il server solo lan, e lo terrò cosi, mi sono gia scottato una volta, per fortuna danni e cancellazioni non ne hanno fatte.

    mercoledì 20 giugno 2012 07:43

Risposte

  • Ciao,

    difficile fare un'analisi a distanza, però secondo me è stato eseguito un attacco brute force sul desktop remoto (o su qualche software VNC se lo utilizzi). Prova ad analizzare i log di sicurezza, nel caso di desktop remoto dovresti trovare moltissimi eventi di accesso non riuscito per administrator con tipo login 10 e codice stato 0xc000006d.

    Probabilmente ti trovavi in questa situazione:

    - Le porte utilizzate da desktop remoto o dai software di VNC erano quelle predefinite (ad esempio se si lascia la 3389 è fin troppo evidente quale servizio è in esecuzione).

    - L'utente amministratore non era stato rinominato (ovvero avevi lasciato il classico "administrator").

    - La password dell'utente administrator non era da considerarsi sicura (troppo corta, mancanza caratteri speciali, stesso nome dominio, ecc...).

    - Non era stato impostato un blocco account dopo diversi tentativi di accesso non riuscito.



    mercoledì 20 giugno 2012 08:15
    Moderatore

Tutte le risposte

  • Ciao,

    difficile fare un'analisi a distanza, però secondo me è stato eseguito un attacco brute force sul desktop remoto (o su qualche software VNC se lo utilizzi). Prova ad analizzare i log di sicurezza, nel caso di desktop remoto dovresti trovare moltissimi eventi di accesso non riuscito per administrator con tipo login 10 e codice stato 0xc000006d.

    Probabilmente ti trovavi in questa situazione:

    - Le porte utilizzate da desktop remoto o dai software di VNC erano quelle predefinite (ad esempio se si lascia la 3389 è fin troppo evidente quale servizio è in esecuzione).

    - L'utente amministratore non era stato rinominato (ovvero avevi lasciato il classico "administrator").

    - La password dell'utente administrator non era da considerarsi sicura (troppo corta, mancanza caratteri speciali, stesso nome dominio, ecc...).

    - Non era stato impostato un blocco account dopo diversi tentativi di accesso non riuscito.



    mercoledì 20 giugno 2012 08:15
    Moderatore
  • oltre ad i drivers della scheda madre e video, ho messo 3 cartelle in condivisione, abilitato desktop remoto e messo temviewer solo per l'utilizzo in lan, per controllarlo senza andare tutte le volte sottoscala. non ho installato nientalrto. pensavo di essere al sicuro.

    per il resto ho lasciato tutto di default come hai elencato te.

    spulciando vnc che hanno installato, lo hanno indirizzato sulla porta 3389.

    cercavo documenti sensibili tipo carte di credito ?? o meglio che formatto ?   le 3 cartelle fortunatamente erano di immagini, documenti word e varie, nulla di sensibile.

    mercoledì 20 giugno 2012 12:18
  • :-) Non posso non darti una dritta..

    1) non usare mai l'utente administrator. Disabilitalo e creane un'altro. (infatti sui nuovi sistemi client è disabled by default..)

    2) se hai una 3389 aperta sei sempre soggetto ad attacchi casuali...fai un forwarding od un port translation magari su una porta alta che punta alla 3389 interna

    3) metti sempre un "lock account after 3/5 wrong password" altrimenti un brute force va avanti all'infinito.

    Dulcis in fundo ti do la chicca...un server 2003 nei test di penetrazione per la sicurezza con la 3389 aperta e l'admin attivo si buca in 10 minuti. :-)

    Quindi la risposta è: ti hanno bucato il server perchè avevi una password non enforced, sull'utente admin e la 3389 aperta diretta. Occhio perchè se è il TUO server non ci sono problemi, se è quello di un cliente e non gli hai messo le policy di protezione corretta ti può pure denunciare perchè sei tu il responsabile IT. 

    Ciao!

    A.

    mercoledì 20 giugno 2012 14:49
    Moderatore
  • P.S quello che volevano prendere, se volevano prendere l'hanno già preso, se formatti serve a niente. Rafforza la pwd con caratteri alfanumerici e speciali @!? ecc...e secca l'utente admin. vedrai che non passa più nessuno. :-)

    A.

    mercoledì 20 giugno 2012 14:51
    Moderatore
  • >oltre ad i drivers della scheda madre e video, ho messo 3 cartelle
    >in condivisione, abilitato desktop remoto e messo temviewer solo
    >per l'utilizzo in lan, per controllarlo senza andare tutte le volte
    >sottoscala. non ho installato nientalrto. pensavo di essere al sicuro.
     
    Alla fine della fiera quello che conta veramente è la complessità della
    password. Una password robusta (almeno 8 caratteri con numeri, simboli
    e lettere minuscole e maiuscole, magari cambiata ogni 3 o 6 mesi) unita
    al cambio di nome dell'Administrator dovrebbero darti una ragionevole
    sicurezza.
    Parlo di "ragionevole sicurezza" perché la sicurezza al 100% non esiste
    in questo campo. Se qualcuno sufficientemente capace ha intenzione di
    bucarti il server, stai tranquillo che prima o poi ci riuscirà, ma si
    deve impegnare a lungo.
     
    P.S. Oltre alle suddette cose, io ho sempre preferito implementare una
    piccola VPN piuttosto che esporre direttamente la porta RDP (3389)
     
    P.P.S. Teamviewer per l'utilizzo in LAN? A che pro?
     
    mercoledì 20 giugno 2012 14:52
  • ha ragione Sky, solo una postilla: i programmi di brute force attaccano solo gli users "conosciuti" se crei uno user terminal con un utente strano non viene mai trovato, se poi hai il blocco account dopo 3 password errate anche impegnandosi una vita il server non lo bucano e se vedi che hai l'account bloccato rinomini.

    Non di li almeno ;-)

    mercoledì 20 giugno 2012 14:57
    Moderatore
  • il server è mio, ma pensavo che di default windows 2003 fosse gia sicuro di suo.

    dalla analisi sei programmi che hanno installato, sono programmi che cercano le password delle carte di credito o siti bancari.

    potevano anche eliminare tutti i files sul pc ma non l'hanno fatto.

    fatto scansione con microsoft essensial e con il reskue disk di kaspesky hanno trovato 3 troyan e rimossi.  win32/morto.gen!b  win32/meshboot  hach/dbbruteora swi accende come appena installato windows, era anche rallentato.in visualizza eventi era 2 mesi che cera accesso administrator fallito, il serve ne ha 3.  magari + attacchi da + persone.

    giovedì 21 giugno 2012 15:14
  • dal router firewall ho disabilitato la porta 3389 ed il reindirizzamento al server, dyndns l'ho lasciato e non penso crei problemi.

    tolto il gateway e dns dal win2003 e lo uso per le 3 cartelle condivise in lan.

    per ora sono un po scottato e abbandano il desktop remoto.

    giovedì 21 giugno 2012 15:17