Event 1006 - The system may be under attack

[HeroX]

Καλησπέρα σας,

 

Έχω ένα VM με Windows Server 2012 και στημένη μια βάση δεδομένων. Το μηχάνημα έχει πάνω Bitdefender Endpoint Security, σεταρισμένο με κωδικό για προστασία απεγκατάστασης, και φυσικά όλα τα important security updates των windows.

 

Πρόσφατα παρατήρησα ένα παράξενο σφάλμα στον Event Viewer και από τα συμφραζόμενα καταλαβαίνω ότι σε περίεργες ώρες κάποιος προσπαθεί να μπει με RC.

 

 

Έχω ενεργοποιήσει την επιλογή για περιορισμό πρόσβασης σε υπολογιστές με NLA, που πριν δεν ήταν ενεργή, και πρόσβαση έχουν μόνο Domain Admins.

 

 

Υπάρχει σοβαρός λόγος ανησυχίας; Τι ενέργειες πρέπει να κάνω για να θωρακίσω παραπάνω το VM;

 

 

Έγινε επεξεργασία Αύγουστος 5, 2019 από HeroX

[Γιάννης_84]

Γίνεται χαμός τώρα τελευταία με rdp hacks (και σε σοβαρά passwords και με όχι συνηθισμένα username) που συνοδεύονται από ransomware με το που καταφέρει ο καλοθελητής να πάρει access και τα av δεν καταφέρνουν τίποτα. Εγώ πλέον rdp ανοιχτό αφήνω μόνο αν ο server είναι πίσω από vpn.

[swatoner]

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

[HeroX]

23 minutes ago, swatoner said:

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

 

Το πρώτο πράγμα που θα κάνω είναι να βάλω rule στο firewall να κόψει όλα τα remote address που χτυπάνε στην 3389.

Για το Blueekeep δεν βλέπω κάτι που να αφορά Windows Server 2012

 

1 hour ago, Γιάννης_84 said:

Γίνεται χαμός τώρα τελευταία με rdp hacks (και σε σοβαρά passwords και με όχι συνηθισμένα username) που συνοδεύονται από ransomware με το που καταφέρει ο καλοθελητής να πάρει access και τα av δεν καταφέρνουν τίποτα. Εγώ πλέον rdp ανοιχτό αφήνω μόνο αν ο server είναι πίσω από vpn.

 

Άσε την έχω πατήσει και προσπαθώ να φυλαχθώ.

[Γιάννης_84]

πριν 11 ώρες, το μέλος swatoner έγραψε:

Αν έχεις την 3389 πόρτα exposed στο Internet τότε κακό μπελά θα βρείς...

 

Ξεκίνα να ψάχνεις για Bluekeep vulnerability. 

Γενικά αποφεύγουμε δια ροπαλου να κάνουμε expose γνωστές πόρτες γιατί είναι εύκολες σε hacking.

Ο τελευταίος που την έφαγε πριν κανα 2μηνο είχε πόρτα 40.χχχ δύσκολο και μεγάλο password, server 2012 r2 fully updated και username μη συνηθισμένο. Επίσης είχε πληρωμένο fsecure το οποίο ο hacker το έφαγε για πρωινό παρά το ότι ήταν password protected. Το τελευταίο πράγμα που κατέγραψε το log του ήταν ένα .exe κάπου στο appdata και μετά τίποτα. Ευτυχώς το backupdrive που ήταν χωρίς drive letter τη γλύτωσε.

 

Από τότε μόνο vpn.

[HeroX]

Υπάρχει κάποιο αξιόπιστο online port scanner; Έχω στήσει policy με 'Block port scans' και επιπλέον έχω κλείσει την 3389. Απλά θέλω να σιγουρευτώ.

[swatoner]

Γενικά καλό είναι εκτός από το να κόψουμε την είσοδο και να την περιορίσουμε, να κόψουμε και την έξοδο.

 

Υπάρχουν πολλά σενάρια που το tunneling για να συνδεθεί κάποιος έγινε από μέσα προς τα έξω.

Δηλαδή και να τρέξεις κάτι, να μην έχει πρόσβαση στο Internet το μηχάνημα για να δώσει report ότι την έφαγα.

 

Το θέμα security είναι μεγάλη κουβέντα και δε σταματά ποτέ.

Εμπειρικά θεωρώ ότι περιορίζεις αρκετά, έως πολύ με το να ξέρεις ακριβώς τι πρόσβαση χρειάζεσαι και να προσαρμόζεσαι αντίστοιχα.