[心得] 公司的RDP主機中鏢了

看板MIS (IT資訊人員)作者 (阿眼)時間5年前 (2019/08/31 20:19), 5年前編輯推噓15(15050)
留言65則, 22人參與, 5年前最新討論串1/2 (看更多)
公司的Win2008 R2 RDP主機在8/26被駭入,被駭的至少有三個網域帳號 帳號以往都會設定登入時自動掛載網路磁碟機連接到檔案伺服器 8/26早上6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號登入此RDP主 機,並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案 (當時看到工作管理員中出現這一處理程序) 導致檔案伺服器下此帳號有權限能寫入的檔案都被加密,約佔全部檔案的30% 被加密的檔案有出現含有駭客e-mail的副檔名字串 https://i.imgur.com/5JjsZtH.jpg
不過並沒有發現在各加密資料夾下有匯款說明文字檔 還好檔案伺服器每天都有做備份,確定無安全疑慮就將檔案倒回去了 在被駭前此RDP主機有在內建的windows防火牆RDP規則中做設定 只有限定某幾個外部信任IP才能連入遠端桌面服務 且也有用以外的幾個外部IP做測試證實是會被擋掉的 微軟五月公布的RDP漏洞安全更新也已經安裝,但八月的更新還未做 不過內建防火牆顯然沒有發生作用,沒能擋下這些白名單以外的IP 懷疑是否被用RDP漏洞開採了 駭客還上傳了一些工具,應是用來取得目前登入該主機的帳號密碼 被駭的三個帳號資料夾下都有這些檔案 https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上針對RDP主機設定外部IP存取白名單 將被駭帳號停用,並刪除user profile資料夾 將能登入到RDP主機的帳號設定到最少,且這些帳號不再自動掛載磁碟機 關於在Server端是否還有哪些安全措施必須做、建議做的呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.239.202.50 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1567253960.A.F24.html

08/31 21:23, 5年前 , 1F
可以找xdr的廠商去poc一下....
08/31 21:23, 1F

08/31 21:47, 5年前 , 2F
RDP不要對外,要連建議用VPN的方式比較好
08/31 21:47, 2F

08/31 22:09, 5年前 , 3F
到底為什麼要開RDP對外????
08/31 22:09, 3F

08/31 22:24, 5年前 , 4F
換Server2019吧,安全性好很多
08/31 22:24, 4F

09/01 00:48, 5年前 , 5F
主機防火牆其實沒有想像中的安全,這就是為什麼要買實體
09/01 00:48, 5F

09/01 00:48, 5年前 , 6F
防火牆的原因.常看到明明設了防火牆還是被入侵的case
09/01 00:48, 6F

09/01 00:50, 5年前 , 7F
windows,Linux都有,因為誰知道漏洞是在誰身上?
09/01 00:50, 7F

09/01 00:51, 5年前 , 8F
OS本身?防火牆?對外服務?還有就是現在看到的漏洞是發現
09/01 00:51, 8F

09/01 00:52, 5年前 , 9F
並修補後才公開的漏洞,那沒公開的不就....??
09/01 00:52, 9F

09/01 00:54, 5年前 , 10F
駭客發現漏洞沒必要公開吧?這樣就少了入侵的路,很不方便
09/01 00:54, 10F

09/01 00:56, 5年前 , 11F
如果有對外服務,請買硬體防火牆,至少入侵異質系統還是難
09/01 00:56, 11F

09/01 00:57, 5年前 , 12F
x86的code丟arm還跑得動嗎? 哈哈
09/01 00:57, 12F
其實這台RDP主機也不算直接對外,也是在router後面 只是有開port re-direct,而且也把原本的RDP port 3389改了 不過還是被駭,看來還是用VPN會比較安全 ※ 編輯: adearlover (114.33.57.71 臺灣), 09/01/2019 07:54:29

09/01 08:45, 5年前 , 13F
駭客要攻擊就是port全掃,改port沒什麼用...
09/01 08:45, 13F

09/01 09:29, 5年前 , 14F
這樣就等於直接對外啊 駭客都掃ip跟all ports
09/01 09:29, 14F

09/01 10:50, 5年前 , 15F
對內也是要防啊,哪個不長眼的中毒,通常低成本管理
09/01 10:50, 15F

09/01 10:50, 5年前 , 16F
,內部防禦力很低
09/01 10:50, 16F

09/01 10:55, 5年前 , 17F
被rdp掃try,沒成功前事件監視器有跡可循
09/01 10:55, 17F

09/01 10:56, 5年前 , 18F
每次看到提醒客戶,大概提醒好幾季,直到被勒索挖礦
09/01 10:56, 18F

09/01 10:56, 5年前 , 19F
為止
09/01 10:56, 19F

09/01 10:58, 5年前 , 20F
我覺得挖礦很良心,通常沒什麼資料損失,近年怕很快
09/01 10:58, 20F

09/01 10:58, 5年前 , 21F
被發現大概鎖在cpu 50~60%
09/01 10:58, 21F

09/01 11:19, 5年前 , 22F
當然不能滿載,滿載你更快會發現...傻傻der
09/01 11:19, 22F

09/01 12:20, 5年前 , 23F
早期的是滿載的,很快被就通報了,挖礦是要穩定偷偷
09/01 12:20, 23F

09/01 12:20, 5年前 , 24F
來不被發現,勒索是強盜,挖礦是毛賊
09/01 12:20, 24F

09/01 12:20, 5年前 , 25F
所以會有些為了不被發現的改進也不意外就是了
09/01 12:20, 25F

09/01 12:22, 5年前 , 26F
不過真的看過雙E5處理器主機被滿載挖了一年以上的案
09/01 12:22, 26F

09/01 12:22, 5年前 , 27F
09/01 12:22, 27F

09/01 12:23, 5年前 , 28F
被挖的就是忍受系統效能不好的狀況下持續一年
09/01 12:23, 28F

09/01 12:55, 5年前 , 29F
一般會建立其他專用帳號,限制只能執行特定程式,其他
09/01 12:55, 29F

09/01 12:55, 5年前 , 30F
什麼都不能作,不然還是建議走VPN
09/01 12:55, 30F

09/01 13:40, 5年前 , 31F
Rdp浮在Internet ...
09/01 13:40, 31F

09/01 22:35, 5年前 , 32F
架個novnc 過個水 再freerdp 安全又web 很方便
09/01 22:35, 32F

09/02 00:21, 5年前 , 33F
有備份可以倒 推一個
09/02 00:21, 33F

09/02 11:05, 5年前 , 34F
有遇過 有繳贖金
09/02 11:05, 34F

09/02 17:21, 5年前 , 35F
希望34樓的苦主,可以分享過程讓mis的各位有所成長
09/02 17:21, 35F

09/02 19:32, 5年前 , 36F
遇過,被放門羅挖礦。
09/02 19:32, 36F
這幾天為file server建立了一個NAS異地備份,做為第二個資料備份 主機被駭環境可以重建,但file server被加密又沒有備份,那可就是晴天霹靂了 前幾天衛福部的醫療所主機也被駭進而導致多台主機資料被加密 雖沒說是透過哪種方式,不過還是藉此提醒IT雜工們最近得多花點心思在資安上了 ※ 編輯: adearlover (114.33.57.71 臺灣), 09/03/2019 02:19:19

09/03 16:41, 5年前 , 37F
小心NAS也被攻 備份快照跟定期離線媒體副本還是要做
09/03 16:41, 37F

09/03 16:43, 5年前 , 38F
看過Server跟NAS全中的
09/03 16:43, 38F

09/03 17:41, 5年前 , 39F
看過 FileServer 不設權限,工讀生也能看到財務或人資的資料
09/03 17:41, 39F

09/03 17:42, 5年前 , 40F
問過老闆,老闆說 相信員工 不該防員工,都給看也沒差
09/03 17:42, 40F

09/03 17:42, 5年前 , 41F
但是,不是看的問題,是也有刪除的權限...
09/03 17:42, 41F

09/03 20:57, 5年前 , 42F
樓上遇到那麼佛系的老闆還不趕快逃...
09/03 20:57, 42F

09/04 03:53, 5年前 , 43F
等被誤刪了可能就不佛了....
09/04 03:53, 43F

09/04 07:11, 5年前 , 44F
已經逃了,所以現在失業中...該公司還是上市上櫃勒 = =a
09/04 07:11, 44F

09/04 09:04, 5年前 , 45F
既然是佛系老闆,應該更要要求經費規劃,逃了有用嗎
09/04 09:04, 45F

09/04 19:19, 5年前 , 46F
vpn再rdp比較好吧,雙重認證
09/04 19:19, 46F

09/04 20:02, 5年前 , 47F
如果有資訊預算...我又何必逃 XDDD
09/04 20:02, 47F

09/05 00:49, 5年前 , 48F
只有讓老闆痛過,而你能撐過那個痛,你就有預算了,
09/05 00:49, 48F

09/05 00:50, 5年前 , 49F
不過這個要看運氣了
09/05 00:50, 49F

09/05 06:48, 5年前 , 50F
FileServer Raid5,沒備份排程也沒備份空間
09/05 06:48, 50F

09/05 06:49, 5年前 , 51F
老闆問說:會容易壞嗎?就賭賭看,撐到公司有多的預算吧
09/05 06:49, 51F

09/05 06:50, 5年前 , 52F
我只好弄一顆4T外接硬碟,用簡易的批次檔方式跑備份
09/05 06:50, 52F

09/05 06:51, 5年前 , 53F
某天,主機板掛了,老闆說:好險你有備份....
09/05 06:51, 53F

09/05 06:53, 5年前 , 54F
之後,也沒買新的主機,直接拿汰換的一般桌機當 FileServer
09/05 06:53, 54F

09/05 08:56, 5年前 , 55F
慘...果然很佛心,
09/05 08:56, 55F

09/05 09:47, 5年前 , 56F
很多是靠人的能力去撐的
09/05 09:47, 56F

09/05 14:21, 5年前 , 57F
老闆後悔…當初用pc+備份就好XD
09/05 14:21, 57F

09/05 15:08, 5年前 , 58F
我才真的佛心,那顆4T外接硬碟還是我私人買的,就是怕出事
09/05 15:08, 58F

09/05 15:08, 5年前 , 59F
結果真的出事,老闆還問我,是不是故意把它弄壞的...
09/05 15:08, 59F

09/05 15:10, 5年前 , 60F
通常會離開一份工作,不會只是單單預算問題,還有心累了 XDD
09/05 15:10, 60F

09/05 22:15, 5年前 , 61F
如果我老闆這樣問我 我應該馬上辭呈
09/05 22:15, 61F

09/06 11:02, 5年前 , 62F
如果老闆這樣問,肯定是要離職,因為這個環境對妳的信任度
09/06 11:02, 62F

09/06 11:02, 5年前 , 63F
就是問號了
09/06 11:02, 63F

09/10 00:35, 5年前 , 64F
不是有遠端管理工具,幹嘛還用RDP? vpn+rsat就可以達
09/10 00:35, 64F

09/10 00:35, 5年前 , 65F
成!
09/10 00:35, 65F
文章代碼(AID): #1TQcN8ya (MIS)
討論串 (同標題文章)
文章代碼(AID): #1TQcN8ya (MIS)