Merhaba arkadaşlar,

Bir müşterime ait Windows 2008 R2 sunucuya bir vatandaş izinsiz olarak giriş yapıyor. Kendine kullanıcı hesabı açıp uzak masaüstü bağlantı kurup farklı yerlere brute force atak yapıyor. Adamın tek derdi atak yani sunucuya görünürde bir zarar vermiyor.

Sunucuda trojen taraması yaptım Malwarebytes ve Kaspersky ile. Buldumda ardından sistem dosyalarına bulaşmış trojenleri (backdoor) temizledim. Kullanıcı hesabınıda sildim, Administrator şifresinide değiştirdim.

Ardından bu arkadaş 2 gün sonra tekrar geldi. Malwarebytes ve Kaspersky yazılımlarınıda kaldırmış yine aynı şekilde saldırı yapıyor.

Şuan makinanın tüm portlarını internete kapattım. Tekrar gelemedi haliyle.


Şimdi benim yapmak istediğim şudur. Ben makinayı tekrardan internete açmak istiyorum. Amacım ise adamın tekniğini bulmak. Muhtemelen ben makinayı açtığımda bu adam bulaştırdığı trojen ile tekrar gelecek. Geldiğinde ise bu kişinin yapacağı tüm hareketleri takip etmek istiyorum. Örneğin C'ye girdi. Windows'a girdi abc.exe'yi çalıştırdı hello word yazdı gibi keylogger gibi (kim ne zaman ne yaptı etti) birşey arıyorum. Bu tüm adımları takip etmemin bir yolu varmı acaba. Event Viewer ile baktım ama içinden çıkamadım açıkcası.

Bu konuda bilgi sahibi arkadaşlar yardımcı olursa çok sevinirim.