Windows sunucuya izinsiz giriş

Merhaba arkadaşlar,

Bir müşterime ait Windows 2008 R2 sunucuya bir vatandaş izinsiz olarak giriş yapıyor. Kendine kullanıcı hesabı açıp uzak masaüstü bağlantı kurup farklı yerlere brute force atak yapıyor. Adamın tek derdi atak yani sunucuya görünürde bir zarar vermiyor.

Sunucuda trojen taraması yaptım Malwarebytes ve Kaspersky ile. Buldumda ardından sistem dosyalarına bulaşmış trojenleri (backdoor) temizledim. Kullanıcı hesabınıda sildim, Administrator şifresinide değiştirdim.

Ardından bu arkadaş 2 gün sonra tekrar geldi. Malwarebytes ve Kaspersky yazılımlarınıda kaldırmış yine aynı şekilde saldırı yapıyor.

Şuan makinanın tüm portlarını internete kapattım. Tekrar gelemedi haliyle.


Şimdi benim yapmak istediğim şudur. Ben makinayı tekrardan internete açmak istiyorum. Amacım ise adamın tekniğini bulmak. Muhtemelen ben makinayı açtığımda bu adam bulaştırdığı trojen ile tekrar gelecek. Geldiğinde ise bu kişinin yapacağı tüm hareketleri takip etmek istiyorum. Örneğin C'ye girdi. Windows'a girdi abc.exe'yi çalıştırdı hello word yazdı gibi keylogger gibi (kim ne zaman ne yaptı etti) birşey arıyorum. Bu tüm adımları takip etmemin bir yolu varmı acaba. Event Viewer ile baktım ama içinden çıkamadım açıkcası.

Bu konuda bilgi sahibi arkadaşlar yardımcı olursa çok sevinirim.

hocam öncelikle geçmiş olsun biliyorum ufak bir ayrıntı ama serverin bir yerine ardp yapabileceği kontrolsüz erişim olarak portable bıraktıgı bir yazılım olabilir buna örnek teamviewer,anydesk vb kontrol etmenizde fayda var programı yüklemeden kullanabildiği için fark edilmesi biraz dikkat gerektirir

Piyasada otomatik RDP sistemlerine BruteForce attak yaparak zayif sifreli sistemleri kirmaya yarayan yazilimlar mevcut. Kiran sahislar genelde otomatik bir batch script ile kendisini garanti alacak degisiklikler yapip, yine baska sunuculari kirmak uzere kucuk bir portable yazilim calisitirip cikiyorlar. Tabi calisan yazilim BOT net aginada dahil ediyor sunucuyu. Amac ellerine yuzlerce yuksek bant genisligine sahip bot elde etmek.

Tavsiyem musterinizin sunucusunu yeniden formatlamaniz ve net bir dille, sizin verdiginiz random sifreyi degistirmemesi gerektigini belirtmeniz. Oyle adamlar varki qwe123 koymak icin israr ediyorlar. Yada daha once yuzkez hacklenip Bruteforce combolist/sifre veritabanlarinda yer etmis sifrelerini kullaniyorlar.

Su sayfadan olusturulmus sifreden baska hic bir Administrator/root sifresini kullanamamasi gerektigini, aksi taktirde olusacak zararlarda tum sorumlulugun kendisine ait oldugunu belirtin.

Sifre olusturma sayfasi:
http://passwordsgenerator.net/index....1&autoselect=0

detaylı bir açıklama yapmıştım ama sanırım yazdığım içerikte forumda engelli içerik var ki göndermeye çalıştığımda alttaki uyarı sayfası çıkıyor.

Sorry, you have been blocked
You are unable to access r10.net

Yazdığım mesajı buradan okuyabilirsiniz. : https://paste.ee/p/N4xF8

@efa