[心得] 公司的RDP主機中鏢了
公司的Win2008 R2 RDP主機在8/26被駭入,被駭的至少有三個網域帳號
帳號以往都會設定登入時自動掛載網路磁碟機連接到檔案伺服器
8/26早上6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號登入此RDP主
機,並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案
(當時看到工作管理員中出現這一處理程序)
導致檔案伺服器下此帳號有權限能寫入的檔案都被加密,約佔全部檔案的30%
被加密的檔案有出現含有駭客e-mail的副檔名字串
https://i.imgur.com/5JjsZtH.jpg
不過並沒有發現在各加密資料夾下有匯款說明文字檔
還好檔案伺服器每天都有做備份,確定無安全疑慮就將檔案倒回去了
在被駭前此RDP主機有在內建的windows防火牆RDP規則中做設定
只有限定某幾個外部信任IP才能連入遠端桌面服務
且也有用以外的幾個外部IP做測試證實是會被擋掉的
微軟五月公布的RDP漏洞安全更新也已經安裝,但八月的更新還未做
不過內建防火牆顯然沒有發生作用,沒能擋下這些白名單以外的IP
懷疑是否被用RDP漏洞開採了
駭客還上傳了一些工具,應是用來取得目前登入該主機的帳號密碼
被駭的三個帳號資料夾下都有這些檔案
https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上針對RDP主機設定外部IP存取白名單
將被駭帳號停用,並刪除user profile資料夾
將能登入到RDP主機的帳號設定到最少,且這些帳號不再自動掛載磁碟機
關於在Server端是否還有哪些安全措施必須做、建議做的呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.202.50 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1567253960.A.F24.html
推
08/31 21:23,
4年前
, 1F
08/31 21:23, 1F
→
08/31 21:47,
4年前
, 2F
08/31 21:47, 2F
→
08/31 22:09,
4年前
, 3F
08/31 22:09, 3F
推
08/31 22:24,
4年前
, 4F
08/31 22:24, 4F
推
09/01 00:48,
4年前
, 5F
09/01 00:48, 5F
→
09/01 00:48,
4年前
, 6F
09/01 00:48, 6F
→
09/01 00:50,
4年前
, 7F
09/01 00:50, 7F
→
09/01 00:51,
4年前
, 8F
09/01 00:51, 8F
→
09/01 00:52,
4年前
, 9F
09/01 00:52, 9F
→
09/01 00:54,
4年前
, 10F
09/01 00:54, 10F
→
09/01 00:56,
4年前
, 11F
09/01 00:56, 11F
→
09/01 00:57,
4年前
, 12F
09/01 00:57, 12F
其實這台RDP主機也不算直接對外,也是在router後面
只是有開port re-direct,而且也把原本的RDP port 3389改了
不過還是被駭,看來還是用VPN會比較安全
※ 編輯: adearlover (114.33.57.71 臺灣), 09/01/2019 07:54:29
→
09/01 08:45,
4年前
, 13F
09/01 08:45, 13F
推
09/01 09:29,
4年前
, 14F
09/01 09:29, 14F
→
09/01 10:50,
4年前
, 15F
09/01 10:50, 15F
→
09/01 10:50,
4年前
, 16F
09/01 10:50, 16F
→
09/01 10:55,
4年前
, 17F
09/01 10:55, 17F
→
09/01 10:56,
4年前
, 18F
09/01 10:56, 18F
→
09/01 10:56,
4年前
, 19F
09/01 10:56, 19F
→
09/01 10:58,
4年前
, 20F
09/01 10:58, 20F
→
09/01 10:58,
4年前
, 21F
09/01 10:58, 21F
推
09/01 11:19,
4年前
, 22F
09/01 11:19, 22F
→
09/01 12:20,
4年前
, 23F
09/01 12:20, 23F
→
09/01 12:20,
4年前
, 24F
09/01 12:20, 24F
→
09/01 12:20,
4年前
, 25F
09/01 12:20, 25F
→
09/01 12:22,
4年前
, 26F
09/01 12:22, 26F
→
09/01 12:22,
4年前
, 27F
09/01 12:22, 27F
→
09/01 12:23,
4年前
, 28F
09/01 12:23, 28F
→
09/01 12:55,
4年前
, 29F
09/01 12:55, 29F
→
09/01 12:55,
4年前
, 30F
09/01 12:55, 30F
推
09/01 13:40,
4年前
, 31F
09/01 13:40, 31F
推
09/01 22:35,
4年前
, 32F
09/01 22:35, 32F
推
09/02 00:21,
4年前
, 33F
09/02 00:21, 33F
→
09/02 11:05,
4年前
, 34F
09/02 11:05, 34F
推
09/02 17:21,
4年前
, 35F
09/02 17:21, 35F
推
09/02 19:32,
4年前
, 36F
09/02 19:32, 36F
這幾天為file server建立了一個NAS異地備份,做為第二個資料備份
主機被駭環境可以重建,但file server被加密又沒有備份,那可就是晴天霹靂了
前幾天衛福部的醫療所主機也被駭進而導致多台主機資料被加密
雖沒說是透過哪種方式,不過還是藉此提醒IT雜工們最近得多花點心思在資安上了
※ 編輯: adearlover (114.33.57.71 臺灣), 09/03/2019 02:19:19
→
09/03 16:41,
4年前
, 37F
09/03 16:41, 37F
→
09/03 16:43,
4年前
, 38F
09/03 16:43, 38F
→
09/03 17:41,
4年前
, 39F
09/03 17:41, 39F
→
09/03 17:42,
4年前
, 40F
09/03 17:42, 40F
→
09/03 17:42,
4年前
, 41F
09/03 17:42, 41F
→
09/03 20:57,
4年前
, 42F
09/03 20:57, 42F
→
09/04 03:53,
4年前
, 43F
09/04 03:53, 43F
→
09/04 07:11,
4年前
, 44F
09/04 07:11, 44F
推
09/04 09:04,
4年前
, 45F
09/04 09:04, 45F
→
09/04 19:19,
4年前
, 46F
09/04 19:19, 46F
→
09/04 20:02,
4年前
, 47F
09/04 20:02, 47F
推
09/05 00:49,
4年前
, 48F
09/05 00:49, 48F
→
09/05 00:50,
4年前
, 49F
09/05 00:50, 49F
→
09/05 06:48,
4年前
, 50F
09/05 06:48, 50F
→
09/05 06:49,
4年前
, 51F
09/05 06:49, 51F
→
09/05 06:50,
4年前
, 52F
09/05 06:50, 52F
→
09/05 06:51,
4年前
, 53F
09/05 06:51, 53F
→
09/05 06:53,
4年前
, 54F
09/05 06:53, 54F
推
09/05 08:56,
4年前
, 55F
09/05 08:56, 55F
→
09/05 09:47,
4年前
, 56F
09/05 09:47, 56F
→
09/05 14:21,
4年前
, 57F
09/05 14:21, 57F
推
09/05 15:08,
4年前
, 58F
09/05 15:08, 58F
→
09/05 15:08,
4年前
, 59F
09/05 15:08, 59F
→
09/05 15:10,
4年前
, 60F
09/05 15:10, 60F
→
09/05 22:15,
4年前
, 61F
09/05 22:15, 61F
→
09/06 11:02,
4年前
, 62F
09/06 11:02, 62F
→
09/06 11:02,
4年前
, 63F
09/06 11:02, 63F
推
09/10 00:35,
4年前
, 64F
09/10 00:35, 64F
→
09/10 00:35,
4年前
, 65F
09/10 00:35, 65F
討論串 (同標題文章)
