0
Kayıt Ol

Windows Server Atak Çıkışı

7

301

  • 01-02-2020, 04:13:06
    #1
    Burti
    Burti
    Reveloper
    Merhaba,

    Bir Windows 2019 Server Exchange sunucumuz dışarı atak çıkıyor ancak ne servislerde nede loglar üzerinde gözükmüyor nereden olduğu. Başına daha önce gelen oldumu?

    + Active Directory ve Exchange 2019 kurulu.

    2020-02-01 02:54:28.402207    IP SERVER_IP.389 > 162.159.211.49.37404: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.402217    IP SERVER_IP > 162.159.211.49: ip-proto-17
2020-02-01 02:54:28.402220    IP SERVER_IP > 162.159.211.49: ip-proto-17
2020-02-01 02:54:28.402235    IP SERVER_IP.389 > 187.254.111.167.80: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.402238    IP SERVER_IP > 187.254.111.167: ip-proto-17
2020-02-01 02:54:28.402241    IP SERVER_IP > 187.254.111.167: ip-proto-17
2020-02-01 02:54:28.402258    IP SERVER_IP.389 > 172.58.21.232.52781: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403196    IP SERVER_IP.389 > 191.243.27.199.29696: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403202    IP SERVER_IP > 191.243.27.199: ip-proto-17
2020-02-01 02:54:28.403204    IP SERVER_IP > 191.243.27.199: ip-proto-17
2020-02-01 02:54:28.403292    IP SERVER_IP.389 > 72.208.115.245.61796: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403310    IP SERVER_IP > 72.208.115.245: ip-proto-17
2020-02-01 02:54:28.403313    IP SERVER_IP > 72.208.115.245: ip-proto-17
2020-02-01 02:54:28.403319    IP SERVER_IP.389 > 180.97.196.12.38572: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403333    IP SERVER_IP > 180.97.196.12: ip-proto-17
2020-02-01 02:54:28.403334    IP SERVER_IP > 180.97.196.12: ip-proto-17
2020-02-01 02:54:28.403426    IP SERVER_IP.389 > 79.152.62.164.41205: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403431    IP SERVER_IP > 79.152.62.164: ip-proto-17
2020-02-01 02:54:28.403433    IP SERVER_IP > 79.152.62.164: ip-proto-17
2020-02-01 02:54:28.403817    IP SERVER_IP.389 > 67.186.108.76.22116: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.403833    IP SERVER_IP > 67.186.108.76: ip-proto-17
2020-02-01 02:54:28.404172    IP SERVER_IP > 67.186.108.76: ip-proto-17
2020-02-01 02:54:28.404176    IP SERVER_IP.389 > 78.140.166.10.37303: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.404219    IP SERVER_IP > 78.140.166.10: ip-proto-17
2020-02-01 02:54:28.404221    IP SERVER_IP > 78.140.166.10: ip-proto-17
2020-02-01 02:54:28.404338    IP SERVER_IP.389 > 185.176.246.73.46262: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.404344    IP SERVER_IP > 185.176.246.73: ip-proto-17
2020-02-01 02:54:28.404385    IP SERVER_IP > 185.176.246.73: ip-proto-17
2020-02-01 02:54:28.404486    IP SERVER_IP.389 > 191.243.18.81.36135: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.404493    IP SERVER_IP > 191.243.18.81: ip-proto-17
2020-02-01 02:54:28.405027    IP SERVER_IP.389 > 191.243.18.81.2747: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.405030    IP SERVER_IP > 191.243.18.81: ip-proto-17
2020-02-01 02:54:28.405071    IP SERVER_IP > 191.243.18.81: ip-proto-17
2020-02-01 02:54:28.405075    IP SERVER_IP > 191.243.18.81: ip-proto-17
2020-02-01 02:54:28.405082    IP SERVER_IP.389 > 191.243.23.201.62094: UDP, bad length 3060 > 1472
2020-02-01 02:54:28.405097    IP SERVER_IP > 191.243.23.201: ip-proto-17
2020-02-01 02:54:28.405099    IP SERVER_IP > 191.243.23.201: ip-proto-17
2020-02-01 02:54:28.405165    IP SERVER_IP.389 > 180.97.196.12.49877: UDP, bad length 3060 > 1472
  • 01-02-2020, 04:16:21
    #2
    ErenM
    ErenM
    Atak çıktığını nereden biliyorsunuz hocam loglarda gözükmüyor ise ?
  • 01-02-2020, 04:19:30
    #3
    Burti
    Burti
    Reveloper
    ErenM adlı üyeden alıntı: mesajı görüntüle
    Atak çıktığını nereden biliyorsunuz hocam loglarda gözükmüyor ise ?
    router üzerinden ağı takip edebiliyoruz
  • 01-02-2020, 04:31:59
    #4
    Dekasya
    Dekasya
    Üyeliği durduruldu
    log da gözükmemesi ilginç
  • 01-02-2020, 04:38:49
    #5
    Burti
    Burti
    Reveloper
    zbucky adlı üyeden alıntı: mesajı görüntüle
    log da gözükmemesi ilginç
    yakaladım şimdi http://prntscr.com/qvvtz0 lsass.exe yapıyorda bu dosya ne alaka
  • 01-02-2020, 04:42:52
    #6
    runo
    runo
    Lsass.exe aslında bir Windows işleminden ibarettir.Ama kötü amaçlı virüsler kendilerini kullanıcılardan ve antivirüslerden saklamak adına aynı ada benzer değişik isimler kullanırlar lsass.exe gibi... (l=I benzerliğinden yararlanarak)
    Sonuçta bu işlem eğer &10'dan daha fazla işlem kaynaklarını kullanıyorsa virüs demektir.En büyük yan etkisi sistemi kapatmaya veya yeniden başlatmaya çalışmasıdır.
    Ayrıca portlar açarak sistemi korumasız bırakır.
    Teşekkürler !
  • 01-02-2020, 07:31:56
    #7
    TUROTTO
    TUROTTO
    Windowsun yıllardır kapattık diyipte kapatamadığı meşhur 445 portu aracılığı ile bulaşıyor bu lanet virusler. Çoğunlukla Mining ve Fidye amacı ile bulaşıyorlar. Windows sunucularda veya router üzerinde mutlaka 135-139,143,161,389,434,445 bu portları drop haline getirilmesi gerekmektedir.
  • 01-02-2020, 08:24:32
    #8
    otukenwebtr
    otukenwebtr
    Üyeliği durduruldu
    FastRabbit olabilir. Bunu Windows 10'da yaşamıştım. Sunucuya lisanslı bir anti virüs kurup temizlemeyi deneyin. Gelen her maili de bilmeden açmayın diyeceğim de zaten bilmeden açacak biri değilsiniz ☺️