Napad(i) na moj strežnik

6 naročnikov

Doma imam poleg postalih PCjev tudi en strežnik, ki bazira na Atomu. Pač home made varianta za nevelik denar. Gor teče Windows Server 2008 R2, posodobljen in legalen. Imam ga za shrambo datotek, torej NAS strežnik.

Včeraj sem se lokalno RDPjal nanj (Remote desktop connection) in pri log onu opazil, da je nastal nek nov uporabniški račun "amd", ki pa je password protected in je bil "logged on". Hitro sem preveril v logu in videl, da je nekdo bil tisti trenutek povezan nanj z RDPjem, našel sem celo IP.

Sedaj pa iščem po logih in se ne znajdem ravno najbolje... Je možno, da so se napadi začeli že februarja? Ker v logih že kaže tako, razen če ti eventi pomenijo kaj drugega?

Kako zaščititi mrežo? V router lahko sicer dam "allow only" IPje, s katerih bom dostopal do mreže, ampak problem je, da se potem ne morem povezati od kjerkoli na svetu.

Dumpni WIN server in naloži Linux, nato se varno SSHjaj gor od kjer koli pač si.

WinSRV2008 imam zaradi enostavnosti, saj nimam pojma o Linuxu, vsaj kar se tiče strežniških rešitev ne. Pa še tam je npr. SMB protokol rahlo nestabilen, ni gonilnikov za razne USB naprave itd.

Evo, našel IP v logih. Sem ga traceal in je lociran nekje v Rusiji.

Še slika ponavljajočih se eventov. So torej od februarja pa do 2 dneva nazaj, ko je napadalec očitno uspešno bruteforcal geslo.

Rešitev je lahko VPN. Drugače pa je pred kratkim (par tednov) prišel RDP exploit za winse, zato rabiš defintivno dodatno zaščito.

Nekaj takega je težava:
http://technet.microsoft.com/en-us/security/bulletin/ms12-020

Aha, sem opazil, da imam sistem nazadnje posodobljen en mesec nazaj. Očitno je lahko tudi to razlog. Ampak v mojem primeru gre očitno za bruteforce razbijanje gesla ali kaj podobnega, saj, kot jerazvidno iz logov, je bil proces dolgotrajen.
Točno, VPN. Imam sicer že postavljenega na routerju in deluje.

Ampak za bruteforce napad mora uporabniško ime (račun) že obstajati. Torej verjetno imaš kakšen generičen username, npr. admin ali root?

Da, uporabljal sem Administrator račun.

Jaz RDP nikdar ne puscam odprto. Obvezno fiksirati na nek IP ali pa se bolje uporabiti vpn. Lp

Osebno tudi opažam napade na moj dev ftp in apache (phpmyadmin). Skoraj vsakih par dni in sploh ne vem kako me najdejo ven, ker nimam nič public... verjetno preko IP scana. So pa to več ali manj roboti zadaj, ki iščejo nove računalnike za botnete in ostale kozlarije, to sklepam po logih, ker se vedno pojavljajo po istem zaporedju. IPji so pa večino iz azije, rusije, redko pa evropski.

Dokaj uspešno se pa branim z čim več zaprtimi porti navzven, omejitvijo povezav na porte strežnika samo določenim IPjem, blokado vseh sumljivih IPjev preko list (peerguardian style) ter fail2ban, ki po parih neuspelih poizkusih povezave (ftp, ssh, tudi web zahtev), blokira napadalčev IP.