Есть у меня маленькая(t2.micro) виртуалка на AWS EC2 — там работают постоянно парочка программ.
Вчера что-то случилось и эти программы перестали работать — я полез разбираться и увидел что они почему-то закрылись.
Я полез разбираться в Event Viewer и нашел там неск. записей о RDP логине из левых стран ( Иран, Германия, Китай )
Значит ли это что сервер взломали? Как они вообще могли узнать пароль? И кому это вообще нафиг нужно (там ничего ценного нет)?
ОС — Windows Server 2003 SP2(знаю что старье, но зато она более-менее шевелится на такой слабой конфигурации как t2.micro)
Что сделать чтобы улучшить защищенность? Пароль уже сменил.
Вот фрагменты лога — там фигурируют какие-то T3ONAMI-PC и PETER-PC
Session reconnected to winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x5B871)
Session Name: RDP-Tcp#*****
Client Name: T3ONAMI-PC
Client Address: 37.156.139.*
Session reconnected to winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x35691F25)
Session Name: RDP-Tcp#*****
Client Name: T3ONAMI-PC
Client Address: 185.158.101.*
Session disconnected from winstation:
User Name: Administrator
Domain: AMAZON-****
Logon ID: (0x0,0x5B871)
Session Name: RDP-Tcp#*****
Client Name: PETER-PC
Client Address: 113.232.102.*
И еще в догонку — можно ли по LogonID отследить к каким файлам/папкам был доступ?
Расследую последствия взлома — нашел много записей такого типа в логе System.
Не совсем понятно — что хакер пытался сделать? Напечатать что-то? Нахрена???
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was deleted.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 is pending deletion.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was purged.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was set.
Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was created.
Driver Microsoft Shared Fax Driver required for printer Fax is unknown. Contact the administrator to install the driver before you log in again.
Driver Send To Microsoft OneNote Driver required for printer Send To OneNote 2007 is unknown. Contact the administrator to install the driver before you log in again.
N>PS. В истории файрфокса остались сайты посещенный взломщиком :
Чё-т дофига сайтов. Я за неделю на столько не захожу. И всё иранское
А времена из истории можешь достать? Может это не человек ходил, а какой-нить скрипт под селениумом — тогда будет видна одновременная активность на десятке сайтов.
Здравствуйте, hi_octane, Вы писали:
N>>PS. В истории файрфокса остались сайты посещенный взломщиком :
_>Чё-т дофига сайтов. Я за неделю на столько не захожу. И всё иранское А времена из истории можешь достать? Может это не человек ходил, а какой-нить скрипт под селениумом — тогда будет видна одновременная активность на десятке сайтов.
Это все за 2 последних дня.
Похоже что действительно скрипт — я зашел в его аккаунт на ipirani.ir , что-то там нажал и штук 20 вкладок открылось ... похоже этот сервис для накрутки посещаемости или что-то типа того.
PS. Пароль я ему поменял — думаю чем бы еще насолить.
еще в его аккаунте его карта была указана — номер начинается на 6104 (это вреде не виза и не мастеркард — видимо какая-то иранская национальная платежная система)
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
ARI ARI ARI... Arrivederci!
Здравствуйте, nobody1985, Вы писали:
N>Расследую последствия взлома — нашел много записей такого типа в логе System.
N>Не совсем понятно — что хакер пытался сделать? Напечатать что-то? Нахрена???
N>N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was deleted.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 is pending deletion.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was purged.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was set.
N>Printer Microsoft XPS Document Writer (from T3ONAMI-PC) in session 2 was created.
N>Driver Microsoft Shared Fax Driver required for printer Fax is unknown. Contact the administrator to install the driver before you log in again.
N>Driver Send To Microsoft OneNote Driver required for printer Send To OneNote 2007 is unknown. Contact the administrator to install the driver before you log in again.
Да просто в настройках RDP-клиента был включён проброс принтеров.
ARI ARI ARI... Arrivederci!