2008 Server açığı

Xht · Haziran 27, 2014

Selam millet.

windows 2008 sunucuya sahibim ancak sürekli olarak saldırıya maruz kalıyorum. Saldırı cinsi ise çok garip bir şekilde bana mavi ekran verdiriyor ve herhangi bir ddos veya flood gibi durmuyor.

1 saniye içinde işlemi yapabiliyor. Yapan elemanı bulduk, port açığından ve windows saatinin portundan bahsetti biraz ntp mi rdp mi öyle bişey portu falan diye, varmıdır bu konuda bilgisi olan?

Nasıl kapanır bu portlar, gereksiz portların hepsini dışarı kapasam işe yararmı?

GERGE · Haziran 27, 2014

2008 sunucun varsa bir adam tut duzeltsin. Tek sunucun olsa neyse de...

Xht · Haziran 27, 2014

ah be gerge,

dedim sabah sabah vardır bi fikir ama.. :((

boztu · Haziran 27, 2014

Büyük ihtimalle şu açığı kullanmıştır.

Microsoft'un Remote Desktop sunucusu ile alakalı bir şey.

https://technet.microsoft.com/en-us/library/security/ms12-020.aspx

Çözümü de sayfanın bir yerlerinde.

Zikko · Haziran 27, 2014

http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Locking-Down-Windows-Server-2008-Terminal-Services.html

Change the Default RDP Port

By default, a Terminal Server uses port 3389 for RDP traffic. By default, every single competent hacker in the world knows that a Terminal Server uses port 3389 for RDP traffic. That being the case, one of the quickest changes you can make to your terminal server environment to detour potential intruders is to change this default port assignment.

In order to change the default RDP port for a Terminal Server, open regedit and browse to HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp. Locate the PortNumber key and replace the hex value 00000D3D (which is equivalent to 3389) to the appropriate hex value for the port you wish to use.

Alternatively, you can change the port number used by your Terminal Server on a per connection basis. While still using regedit, browse to HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsconnection name. Again, locate the PortNumber key and replace the hex value in place with the value you wish to use.

Keep in mind that when changing this setting on your server, all connecting clients will need to be sure they are connecting to the Terminal Server with the new port extension tagged on to the servers IP address. For example, connecting to a Terminal Server with an internal IP address of 192.168.0.1 which is now using the non-standard port 8888 would require a user to enter 192.168.0.1:8888 into the Remote Desktop Connection client.

Xht · Haziran 27, 2014

Selam tekrardan,

event viewer dan saldırı yediğimde ne warning yemişim ona bakıyodum ;

Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

bunu gösteriyor bana alakası varmı bilmiyorum tabi.

Portu değiştirmem işe yararmı? Port scan edip tekrar bulamazmı

boztu · Haziran 27, 2014

Event pek alakalı gelmedi. Port değiştirmek de tam bir çözüm değil. Neticede piyasa port scanner kaynıyor.

Tüm güvenlik güncellemelerini yaptığına emin misin?

WaNTeD · Haziran 27, 2014

abi sdıfjdg o çok eski bi açık yaması çıktı direk ddos falan değil. indir kur mavi ekran diye arasan çıkar zaten

Xht · Haziran 27, 2014

Wanted,

updatelerin tamamını yapsam düzelirmi?

Xht · Haziran 27, 2014

Güncellemeri yapmadılar sanıırım sunucuyu teslim ederken gece hepsini başlatayım ben :/

icphedia · Haziran 27, 2014

Ne zaman güncellemeleri biriktirip biriktirip yapsak hep sorun çıktı. Umarım problemsiz bir şekilde güncellersiniz..

Xht · Haziran 28, 2014

WaNTeD said:

abi sdıfjdg o çok eski bi açık yaması çıktı direk ddos falan değil. indir kur mavi ekran diye arasan çıkar zaten

Bulamadım :/ updatelerin tamamını yaptım ama gene saldırırmı eleman bilmiyorum

Ractamainus · Haziran 29, 2014

Xht said:

Selam tekrardan,

event viewer dan saldırı yediğimde ne warning yemişim ona bakıyodum ;

Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

bunu gösteriyor bana alakası varmı bilmiyorum tabi.

Portu değiştirmem işe yararmı? Port scan edip tekrar bulamazmı

sunucularını her zaman updated tut kesinlikle.

bu event'ten dolayı olabilir gerçekten. WMI filter'lara erişim yetkisi olmadan erişip, bilgisayara shut-down yapılabiliyormuş.

aşağıdaki fixi dene;
http://support.microsoft.com/kb/950375
http://support.microsoft.com/kb/2545227

2008 Server açığı

Öne çıkan mesajlar

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş

Link to comment

Sosyal ağlarda paylaş