Есть у меня маленькая(t2.micro) виртуалка на AWS EC2 — там работают постоянно парочка программ.
Вчера что-то случилось и эти программы перестали работать — я полез разбираться и увидел что они почему-то закрылись.
Я полез разбираться в Event Viewer и нашел там неск. записей о RDP логине из левых стран ( Иран, Германия, Китай )
Значит ли это что сервер взломали? Как они вообще могли узнать пароль? И кому это вообще нафиг нужно (там ничего ценного нет)?
ОС — Windows Server 2003 SP2(знаю что старье, но зато она более-менее шевелится на такой слабой конфигурации как t2.micro)
Что сделать чтобы улучшить защищенность? Пароль уже сменил.
Вот фрагменты лога — там фигурируют какие-то T3ONAMI-PC и PETER-PC
Расследую последствия взлома — нашел много записей такого типа в логе System.
Не совсем понятно — что хакер пытался сделать? Напечатать что-то? Нахрена???
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was deleted.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 is pending deletion.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was purged.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was set.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was created.
Driver Microsoft Shared Fax Driver required for printer Fax is unknown. Contact the administrator to install the driver before you log in again.
Driver Send To Microsoft OneNote Driver required for printer Send To OneNote 2007 is unknown. Contact the administrator to install the driver before you log in again.
N>Что сделать чтобы улучшить защищенность? Пароль уже сменил.
У амазона создаётся Security Group для каждого instance. В норме там должен быть разрешён RDP порт только для подсети твоего провайдера. Я обычно для таких "висит себе сервис и никому не нужен пока работает" вообще RDP в Security Groups запрещаю и включаю только свою IP (там даже кнопочка такая есть "my ip") через EC2 консоль только когда туда залезть надо.
Систему бы я переставил, это на aws минут 10 займёт не больше, зато будешь уверен что китайцы не запрятали какого подарка, могущего создать проблемы уже с амазоном из-за нарушения их правил.
Здравствуйте, hi_octane, Вы писали:
>Систему бы я переставил, это на aws минут 10 займёт не больше, зато будешь уверен что китайцы не
Да, систему конечно переставлю. Сейчас просто интересно разобраться что-же они там делали когда взломали.
>запрятали какого подарка, могущего создать проблемы уже с амазоном из-за нарушения их правил.
Уже. От амазона пришло писмо Abuse Report — кто-то им нажаловался что с моего ip был Bruteforce to port 3389 ( я так понимаю RDP порт ) ... как на Windows Server 2003 посмотреть какой процесс этим занимается? (или скорее занимался во время сеанса подключения из китая)
>>Систему бы я переставил, это на aws минут 10 займёт не больше, зато будешь уверен что китайцы не N>Да, систему конечно переставлю. Сейчас просто интересно разобраться что-же они там делали когда взломали.
Если заранее не готовился к записи всех действий взломщиков, то скорее всего уже никак. Разве что поищи все изменённые и новые файлы в день взлома и позднее.
N>как на Windows Server 2003 посмотреть какой процесс этим занимается? (или скорее занимался во время сеанса подключения из китая)
Поставь например Process Hacker. Им скорее всего увидишь (если они не заморочились сокрытием своих процессов и соединений от системы) — левые соединения активные сейчас, и сможешь найти процессы, сервисы или dll-ки которые они оставили. Но могут и очень неплохо спрятать, например я видел один раз драйвер без имени, без пути, и вообще без всего, и при этом его не обнаружилось после подключения реестра системой с LiveCD.
Здравствуйте, hi_octane, Вы писали:
_>Поставь например Process Hacker. Им скорее всего увидишь (если они не заморочились сокрытием своих процессов и соединений от системы) — левые соединения активные сейчас, и сможешь найти процессы, сервисы или dll-ки которые они оставили. Но могут и очень неплохо спрятать, например я видел один раз драйвер без имени, без пути, и вообще без всего, и при этом его не обнаружилось после подключения реестра системой с LiveCD.
Поставил Process Hacker и увидел что процесс firefox общается с иранским адресом 80.191.214.144
взломщик залогинился под пользователем support и оставил firefox открытым с парой вкладок.
Я зашел под аккаунтом support и увидел что он оставил открытым сайт ipirani.ir ( понятия не имею что это за сервис т.к. все на иранском, но там был открыт личный кабинет пользователя sarbaz3254 и его баланс 100 053 риала — это то что я понял скопипатив текст страницы в гуглопереводчик )
Здравствуйте, nobody1985, Вы писали:
N>Что значит где хранился? Это-ж стандартная аутентификация Windows — не знаю где там винда с своих недрах пароли хранит(или их хэши).
Раз пароль несложный, то не важно. Был бы сложный, было бы интересно, где он у тебя хранился.
N>А что у винды нет защиты от атаки по словарю?
А как ты себе это представляешь? От перебора-то есть, разумеется.
N>PS. В истории файрфокса остались сайты посещенный взломщиком :
Чё-т дофига сайтов. Я за неделю на столько не захожу. И всё иранское А времена из истории можешь достать? Может это не человек ходил, а какой-нить скрипт под селениумом — тогда будет видна одновременная активность на десятке сайтов.
Здравствуйте, wildwind, Вы писали:
N>>А что у винды нет защиты от атаки по словарю?
W>А как ты себе это представляешь? От перебора-то есть, разумеется.
А как винда от перебора защищена?
Похоже что именно перебором сломали — обнаружил что взломщик и с моего VPS пытался другие компы брутфорсить — от оставил прогу DuBrut 3.1
Здравствуйте, hi_octane, Вы писали:
N>>PS. В истории файрфокса остались сайты посещенный взломщиком : _>Чё-т дофига сайтов. Я за неделю на столько не захожу. И всё иранское А времена из истории можешь достать? Может это не человек ходил, а какой-нить скрипт под селениумом — тогда будет видна одновременная активность на десятке сайтов.
Это все за 2 последних дня.
Похоже что действительно скрипт — я зашел в его аккаунт на ipirani.ir , что-то там нажал и штук 20 вкладок открылось ... похоже этот сервис для накрутки посещаемости или что-то типа того.
PS. Пароль я ему поменял — думаю чем бы еще насолить.
еще в его аккаунте его карта была указана — номер начинается на 6104 (это вреде не виза и не мастеркард — видимо какая-то иранская национальная платежная система)
Здравствуйте, nobody1985, Вы писали:
N>А как винда от перебора защищена?
Как обычно, увеличением времени ожидания.
N>Похоже что именно перебором сломали — обнаружил что взломщик и с моего VPS пытался другие компы брутфорсить — от оставил прогу DuBrut 3.1
Разницу между простым перебором, словарным, и интеллектуальным понимаешь?
Здравствуйте, wildwind, Вы писали:
N>>А как винда от перебора защищена? W>Как обычно, увеличением времени ожидания.
Это где-нибудь описано в документации?
N>>Похоже что именно перебором сломали — обнаружил что взломщик и с моего VPS пытался другие компы брутфорсить — от оставил прогу DuBrut 3.1
W>Разницу между простым перебором, словарным, и интеллектуальным понимаешь?
Думаю, что понимаю(хотя практики не было) ... а как это в данном случае влияет?
Здравствуйте, nobody1985, Вы писали:
N>Расследую последствия взлома — нашел много записей такого типа в логе System. N>Не совсем понятно — что хакер пытался сделать? Напечатать что-то? Нахрена???
N>
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was deleted.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 is pending deletion.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was purged.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was set.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was created.
N>Driver Microsoft Shared Fax Driver required for printer Fax is unknown. Contact the administrator to install the driver before you log in again.
N>Driver Send To Microsoft OneNote Driver required for printer Send To OneNote 2007 is unknown. Contact the administrator to install the driver before you log in again.
Да просто в настройках RDP-клиента был включён проброс принтеров.
Здравствуйте, Somescout, Вы писали:
S>Минут на 15. Время локдауна тоже настраивается. Но перебор в любом случае не пройдёт, если пароль хоть немного безопасный.
Ну так через 15 — еще попытка. ДОС ведь не в том, чтобы пробиться, а в том, чтобы для легальных пользователей лежало.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, nobody1985, Вы писали:
W>>Как обычно, увеличением времени ожидания. N>Это где-нибудь описано в документации?
К примеру, WNetAddConnection2 висит при неправильных кредах.
Зачем дока, берёшь и проверяешь. В доке, вообще, по ней лажа была написана.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]