sticky
Accessi non autorizzato a 2003 Server con RDP attiva, blocco password e password complesse inutili, Criptatura dati completa! ATTENZIONE! RRS feed

  • Discussione generale

  • Buongiorno, qualche giorno fa avevo aperto un thread per un cliente che aveva un problema. Gli avevano bucato il server e criptato tutti i dati ed i backup in rete, più due macchine che avevano delle share di rete. 

    Il cliente aveva la 3389 aperta e qualche password non complessa, nonostante il blocco a 3 errate, è stato bucato ed imputato alle password non complesse.

    Stamane è successo di nuovo su un un server 2003 patchato all'ultimo KB, password complesse e blocco account dopo 3 tentativi, administrator disattivato. A questo punto il problema bypassa il discorso sicurezza ma buca qualcosa a livello di protocollo RDP del 2003 eliminando di peso il discorso password. 

    Consiglio quindi fortemente di eliminare le 3389 aperte e se possibile evitare di fare degli inoltri di porte alte alla 3389. Attivare VPN dove possibile. Su 2008 e 2008 R2 non ho casi a riguardo ma i 2003 oramai sono sotto attacco continuo, quindi se non l'avete ancora fatto, proteggete i vostri server ed per i backup di rete usate credenziali diverse e cartelle diverse dalla classica "public" dei NAS, mal che vada quello non verrà criptato. 

    Spero di aver messo in allarme abbastanza la comunità, 3 server 2003 in poco tempo non sono uno scherzo e sappiamo bene che tutti hanno ancora terminal attivi.

    Buon Lavoro.

    Alessandro.

    giovedì 3 ottobre 2013 10:59
    Moderatore

Tutte le risposte

  • Ciao, porto anche io il mio contributo. In azienda siamo stati bucati a luglio, e sembra siamo stati tra i primi. Ci hanno bucato un 2003 r2 patchato ma con rdp pubblicato. L'attacco è' avvenuto alle 12 di una domenica e sono riuscito a recuperare tutto dal backup del venerdì (non mi son fidato di quello di sabato nel caso si fossero già messi al lavoro). Fortunatamente con veramente abbiamo recuperato le macchine compromesse e dove non era possibile ho recuperato solo i vdisk delle macchine virtuali bucate. In tutti i server compromessi ho trovato negli eventi di sistema un tentato accesso con utente nomeserver\ecommerce ma tutti davano errore in quanto cantavano la password. Il nomeserver era alla fine, proprio quel 2003 con rdp di cui sopra. Sono comunque riusciti a beccare alcune share di rete con permessi read/white per everyone e tutto il contenuto e' stato cifrato. Correndo dietro agli eventi di Windows sul server bucato, ho trovato l'ipotesi da cui hanno lanciato l'attacco, e incrociando i log del firewall e facendo un po' di analisi, l'ipotesi è' risultato uno dei nodo di uscita della rete TOR, infatti anche la mail a cui avremmo dovuto spedire i file per avere istruzioni era su dominio tormail. Abbiamo fatto denuncia alla polizia postale che ci ha detto che praticamente non faranno nulla. Alla fine e' andata bene, in meno di 24 ore avevo recuperato tutto (siamo una multinazionale di oltre 1000 persone) e il fermo utenti e' durato circa 8 ore. A seguito di ciò' abbiamo ridotto sensibilmente la nostra esposizione al mondo esterno creando delle VPN (che gli utenti da oggi sono ben felici di avere e nessuno più mette in dubbio quando parliamo di sicurezza della rete interna). Alcuni consigli che vi do': - se fate dei backup, fate in modo che siano su share protetta, meglio se su un troncone di rete separato dove magari accede una sola macchina che fa da ponte con 2 schede di rete, ho visto che anche i file bak venivano criptati (vedi bck di SQL) - se avete 2003 pubblicati, aggiornate a 2008/2012 o rimuovete il nat - usate la complessità password e l' NLA - se avete un firewall, abilitate l'ips, anche se non è' detto che rilevi l'attacco - fate un giro per vedere il livello di patchato di tutti i server in particolare di quelli esposti Un saluto e se avete bisogno contattatemi Ivan
    martedì 12 novembre 2013 20:29
  • Ciao,

    Grazie Alessandro e grazie Ivan per i buoni consigli, avete guadagnato un voto di utilita' :-)

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    mercoledì 13 novembre 2013 11:46
  • Nello stesso periodo anche un mio cliente ha avuto lo stesso problema, Windows Server 2003 patchato, password complesse, 3 tentativi di accesso e poi blocco utente. Eppure sono entrati e hanno criptato tutto anche le copie su NAS. L'attacco è avvenuto la Domenica mattina e si è protratto per tutto il giorno. Lunedì tutti gli utenti RDP ovviamente bloccati. Fortunatamente sono arrivati solo al server RDP, (porta 3389 aperta). Probabile qualche buco nascosto sul protocollo RDP. Documentandomi su questo problema la soluzione è stata quella di migrare quel server a Windows 2012 Server Standard e lo abbiamo anche portato fuori su cloud. 

    Questa è stata la mia esperienza, spero possa servire per capire che Windows Server 2003 per chi lo usa con RDP va per forza di cose aggiornato a Windows Server 2008/2012.

    Un saluto a tutti

    Carlo

     
    martedì 8 aprile 2014 20:11