Konuyu bu saatte açmamın sebebi bir kaç saattir networkdeki hareketlenmelerdir.
Bu akşam saat 22.30'dan itibaren sistemde bazı yurtdışı hareketlilikleri artmıştı. Hatta zaman zaman tcp istekleri sebebiyle firewall'larımızda uyarılar almaya başladık. Bu sebeplede bazı filtrelemeleri logladık. Şuan saat 01.30 ve belirttiğim saatten beridir ağırlıklı olarak Çin IP'lerinde olmak üzere Portekiz, Fransa gibi ülkelerden IP adreslerimizin geneline (tüm bloga) port tarama istekleri geliyor. Açık portları tespit edip şifre kırma girişiminde bulunmaya çalışıyorlar.
Özellikle windows RDP portu 3389, ssh portu ve ftp portları üzerinde sürekli farklı çin IP'lerinden giriş yapma girişimi yapılıyor. Farklı bloglardaki tüm IP'lerimizde benzer girişimler şu saat itibari ile devam ediyor.
Güvenlik amacıyla port erişimlerine çinden girişi yasakladım. Daha öncede buna benzer şeyler oluyordu ancak bu denli uzun sürdüğü ve tüm bloga yapıldığı durumuna çok rastlamamıştık. Şuan kullandığımız 4 adet c-class üzerinde bu hareketlenmeleri görüyoruz. Network'unde anormal durum olanlar yada şifresi basit olan arkadaşlar lütfen network analizleri yaparak gerekli güvenlik önlemlerini alsınlar. Aksi taktirde şifre çalınması gibi durumlarla ciddi zararlara sebep olabilirler.
Güvenlik için bir süreliğine IP erişimini yurtdışına kapattırmakta bir süreliğine fayda sağlayabilir bilgilendirmek istedim.
Saygılarımızla
TURKLOKASYON NOC
