50793
Jul 13, 2016
1422
11
0
Unberechtigter Zugriff via RDP gibt es ein aktuelles Sicherheitsproblem was aktiv ausgenutzt wird???
Hallo alle miteinander,
aktuell häufen sich die anfragen von verschiedenen Usern/Firmen da sie Probleme mit einzelnen Rechnern haben.
Speziell ist folgende Situation:
RPD Zugriff über extern (egal ob std Port oder geändert)
es gibt auf diesen neue User (mit lokalen Admin rechten)
dann wird Stellenweise div. Software geladen + installiert (Bitcoinminer, xrdp,WinPcap,WinRar etc.)
folgende Situationen wurden schon bei verschiedenen Rechnern vorgefunden:
chrome offen mit Russischer Website (chrome war nie installiert)
div. Software installiert (Teilweise auf Russisch)
egal ob Win7 Rechner oder Server 2008,SBS etc.
die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
und was noch gleich ist das die Zugriffe gegen gegen 20.00-22.00 erstmalig aufgetreten sind. dann wird meist was installiert und der Rechner einem neustart unterzogen.
die Rechner werden von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Updatestand beim letzten (SBS2008) zum Beispiel 26.6.16
Vielleicht sollte der eine oder andere mal unter Benutzer schauen ob da einer unbekannterweise existent ist und dann in diesem mal den download Ordner prüfen.
Gibt es hierfür Infos bzw hat einer von euch das auch schon beobachtet?
Grüße
aktuell häufen sich die anfragen von verschiedenen Usern/Firmen da sie Probleme mit einzelnen Rechnern haben.
Speziell ist folgende Situation:
RPD Zugriff über extern (egal ob std Port oder geändert)
es gibt auf diesen neue User (mit lokalen Admin rechten)
dann wird Stellenweise div. Software geladen + installiert (Bitcoinminer, xrdp,WinPcap,WinRar etc.)
folgende Situationen wurden schon bei verschiedenen Rechnern vorgefunden:
chrome offen mit Russischer Website (chrome war nie installiert)
div. Software installiert (Teilweise auf Russisch)
egal ob Win7 Rechner oder Server 2008,SBS etc.
die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
und was noch gleich ist das die Zugriffe gegen gegen 20.00-22.00 erstmalig aufgetreten sind. dann wird meist was installiert und der Rechner einem neustart unterzogen.
die Rechner werden von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Updatestand beim letzten (SBS2008) zum Beispiel 26.6.16
Vielleicht sollte der eine oder andere mal unter Benutzer schauen ob da einer unbekannterweise existent ist und dann in diesem mal den download Ordner prüfen.
Gibt es hierfür Infos bzw hat einer von euch das auch schon beobachtet?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309696
Url: https://administrator.de/contentid/309696
Printed on: April 18, 2024 at 09:04 o'clock
11 Comments
Latest comment
Sofort alles dicht machen!
Zitat von @50793:
RPD Zugriff über extern (egal ob std Port oder geändert)
RPD Zugriff über extern (egal ob std Port oder geändert)
Warum ist RDp von extern erlaubt? das ist ein nicht tragbares Sicherheitsrisiko. RDP sollte nur über VPN erlaubt werden.
Aber als Sofortmaßnahmen:
- Alle System isolieren (Netzwerkstecker ziehen!)
- Image sichern für forensische Maßnahmen
- Sauberes backup einspielen.
Erst danach wieder die Systeme ans Netz lassen.
Wichtig: Alle Zugriffe von Extern nur üebr VPN!
lks
Und dann lasst ihr mal ein paar Fachleute ran. Evtl auch Forensiker. Verarbeitet Ihr Daten von Dritten? Erklärt Euren Datenschutzbeauftragtem das Euer gesamtes System kompromitiert ist. Benachrichtigt Eure Aufsichtsbehörde (falls es eine gibt). Schmeisst die Verantwortlichen für die IT raus und dann erklärt Euren Oberchefs das Überstunden anstehen.
Alles ernst gemeint.
Alles ernst gemeint.
Hallo,
Man stellt seinen Rechner auch nicht mit Tastatur und Maus auf die Straße.
Wenn die Logins gelogt werden kann man evtl noch rausbekommen wan die kompromitiert wurden.
Gruß
Chonta
Nachtrag: Auf rootkits prüfen, Adminzugang und reboot....
RPD Zugriff über extern (egal ob std Port oder geändert)
Wer auf einen Server der im Internet steht mit RDP rauf will MUSS ein VPN machen und RDP darf NIE ohne VPN über das Internet erreichbar sein.Man stellt seinen Rechner auch nicht mit Tastatur und Maus auf die Straße.
es gibt auf diesen neue User (mit lokalen Admin rechten)
Tjo wenn die nicht gewolt angelegt wurden dan frohes neuaufsetzen der Kompromitierten Systeme.die einzige gemeinsamkeit bei den Rechnern sehe ich aktuell im "von extern erreichbarem RDP" also ohne VPN. (und auch die Admin pw´s sind unterschiedlich und nicht gerade einfach)
Egal irgendwan ists geknackt und man ist drauf.Wenn die Logins gelogt werden kann man evtl noch rausbekommen wan die kompromitiert wurden.
von unterschiedlichen Personen betreut bzw haben diese Stellenweise auch eigenes Personal dafür.
Gelbe Seiten.Gruß
Chonta
Nachtrag: Auf rootkits prüfen, Adminzugang und reboot....
Nun da die einmal drauf waren wird evtl ne weitere Backdoor drauf sein.
Jedenfalls System vom Netzwerk/Internet trennen, Backup der Daten die jedoch Kompomitiert worden sind und ganze System neu Aufsetzten.
Möglich das es eine neue Lücke gibt oder die über ein anderen Weg zb Flash oder so reingekommen sind.
Aber Remote Zugang ohne Absichern/Verschlüsselung ist schon Leichtsinnig.
Da es welch aus Rusland sind und wenn ihr nicht unbedingt die Webseiten davon/Mails von dem Land braucht könntet ihr am Router des Land per IP sperren zb.
Bringt jedoch nix wenn die über andere Länder/Proxy kommen...
Es ist halt ein Katz und Maus Spiel.
Jedenfalls System vom Netzwerk/Internet trennen, Backup der Daten die jedoch Kompomitiert worden sind und ganze System neu Aufsetzten.
Möglich das es eine neue Lücke gibt oder die über ein anderen Weg zb Flash oder so reingekommen sind.
Aber Remote Zugang ohne Absichern/Verschlüsselung ist schon Leichtsinnig.
Da es welch aus Rusland sind und wenn ihr nicht unbedingt die Webseiten davon/Mails von dem Land braucht könntet ihr am Router des Land per IP sperren zb.
Bringt jedoch nix wenn die über andere Länder/Proxy kommen...
Es ist halt ein Katz und Maus Spiel.
Jung,
hol die Luken dicht und steuer zukünftig einen sicheren Kurs unter Land. Will sagen, mit VPN biste da sicherer unterwegs.
Gruß
Uwe
hol die Luken dicht und steuer zukünftig einen sicheren Kurs unter Land. Will sagen, mit VPN biste da sicherer unterwegs.
Gruß
Uwe
Naja evtl waren die ITler ja Fähig jedoch durch Sparmaßnahmen nicht das Zubehör dafür bekommen und Chef sagt mal das es geht sonst macht es ein anderer für dich...
In einigen Sachen mangelt es ja nur an der Genehmigung vom Chef/Vorgesetzten...
In einigen Sachen mangelt es ja nur an der Genehmigung vom Chef/Vorgesetzten...
Nein.
Rudimentäres Werkzeug wäre laut Aussage des TOs vorhanden gewesen (SBS)
Rudimentäres Werkzeug wäre laut Aussage des TOs vorhanden gewesen (SBS)
Sag mal, wenn Du von verschiedenen Usern/Firmen sprichst: Arbeitest Du bei einem Systemhaus und redest Du über Kunden von Euch?
Zitat von @St-Andreas:
Sag mal, wenn Du von verschiedenen Usern/Firmen sprichst: Arbeitest Du bei einem Systemhaus und redest Du über Kunden von Euch?
Sag mal, wenn Du von verschiedenen Usern/Firmen sprichst: Arbeitest Du bei einem Systemhaus und redest Du über Kunden von Euch?
du stellst ja fragen
Um auf die Eingangsfrage zurückzukommen:
Wenn die Ports 137, 138, 139 oder 445 nach außen erreichbar waren trifft eventuell das hier zu:
https://technet.microsoft.com/library/security/MS16-087
Nachtrag:
Ich habe mir von unseren IP-Netzen mal Flow-Statistiken gezogen. Da ist nicht wirklich mehr RDP-Traffic zu sehen als sonst auch, von daher bin ich mir nicht sicher ob es tatsächlich einen aktuellen 0day-Exploit für RDP gibt. Allerdings habe ich jetzt natürlich nur auf Port 3389 prüfen können, nicht auf eventuelle veränderte Ports. Und wir haben bisher auch ein normales Level an Abuse-Complaints.
Wenn die Ports 137, 138, 139 oder 445 nach außen erreichbar waren trifft eventuell das hier zu:
https://technet.microsoft.com/library/security/MS16-087
Nachtrag:
Ich habe mir von unseren IP-Netzen mal Flow-Statistiken gezogen. Da ist nicht wirklich mehr RDP-Traffic zu sehen als sonst auch, von daher bin ich mir nicht sicher ob es tatsächlich einen aktuellen 0day-Exploit für RDP gibt. Allerdings habe ich jetzt natürlich nur auf Port 3389 prüfen können, nicht auf eventuelle veränderte Ports. Und wir haben bisher auch ein normales Level an Abuse-Complaints.
