Har min server blivit infekterad?

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Aug 2004

Har min server blivit infekterad?

Min windows 2012 r2 gick ner för nån dag sedan. Efter jag startade upp den igen och skulle koppla upp mig med RDP så sa den att den hade ett nytt certifikat. När jag loggade in så såg jag att det var en proxy server för browsing som pekade på 127.0.0.1.

Känslan är att servern blivit infekterad av någonting. Jag har inte haft något antivirus installerat. IIS:en (80/443) och FileZilla (21 + PASV ports) och terminal services har varit de enda exponerade portarna ut, men det säger ju ingenting egentligen.

Men det låter som typiska symptom enligt mig. Finns det någon anledning till att servern skulle ha ett nytt cert p.g.a någon uppdatering?

Intel eller AMD? Snarare x86 eller ARM.

Jag välkomnar våra ARM overlords med öppna armnar när de kommer! :)

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Aug 2005

Kollat så att tiden är korrekt i windows?
Certifikatfel beror allt som oftast på detta :/

CPU: I5 6600k @ 4.4ghz GPU: 1070 G1 MBD: Asus Ranger VIII PSU: Silver Power SP-SS500 RAM: HyperX Fury 16gb @ 2300mhz CHASSI: NZXT H440 White

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Aug 2004
Skrivet av m0s:

Kollat så att tiden är korrekt i windows?
Certifikatfel beror allt som oftast på detta :/

Hmm, skulle kunna vara det kanske. Det blev inte fel, utan snarare en fråga om certet som servern använde skulle litas på när jag skulle logga in med terminal services. Så det verkar som det var ett nytt cert som användes.

Intel eller AMD? Snarare x86 eller ARM.

Jag välkomnar våra ARM overlords med öppna armnar när de kommer! :)

Trädvy Permalänk
Medlem
Registrerad
Jun 2019
Skrivet av kelthar:

Min windows 2012 r2 gick ner för nån dag sedan. Efter jag startade upp den igen och skulle koppla upp mig med RDP så sa den att den hade ett nytt certifikat. När jag loggade in så såg jag att det var en proxy server för browsing som pekade på 127.0.0.1.

Känslan är att servern blivit infekterad av någonting. Jag har inte haft något antivirus installerat. IIS:en (80/443) och FileZilla (21 + PASV ports) och terminal services har varit de enda exponerade portarna ut, men det säger ju ingenting egentligen.

Men det låter som typiska symptom enligt mig. Finns det någon anledning till att servern skulle ha ett nytt cert p.g.a någon uppdatering?

Om du är det minsta osäker: Installera servern från scratch och återställ data (inte konfiguration!) från backup.

Tips för framtiden: RDP rakt ut mot Internet är ingen bra ide om du inte har något ytterligare skydd framför din server. Något i stil med Apache Guacamole i kombination med TOTP-inloggning förvandlar ett oöverskådligt och svårsäkrat protokoll som RDP till lätthanterliga och lättsäkrade protokoll (HTML5/websockets över TLS).

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Aug 2004
Skrivet av Det Otroliga Åbäket:

Om du är det minsta osäker: Installera servern från scratch och återställ data (inte konfiguration!) från backup.

Tips för framtiden: RDP rakt ut mot Internet är ingen bra ide om du inte har något ytterligare skydd framför din server. Något i stil med Apache Guacamole i kombination med TOTP-inloggning förvandlar ett oöverskådligt och svårsäkrat protokoll som RDP till lätthanterliga och lättsäkrade protokoll (HTML5/websockets över TLS).

Ja, jag har funderat på att sätta den bakom OpenVPN via routern eller liknande, men inte brytt mig jättemycket :). Använder den knappt längre. Kommer antagligen installera Ubuntu på den när jag väl kopierat alla viktiga filer.

Intel eller AMD? Snarare x86 eller ARM.

Jag välkomnar våra ARM overlords med öppna armnar när de kommer! :)

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av kelthar:

Ja, jag har funderat på att sätta den bakom OpenVPN via routern eller liknande, men inte brytt mig jättemycket :). Använder den knappt längre. Kommer antagligen installera Ubuntu på den när jag väl kopierat alla viktiga filer.

Om du inte använder den så finns det ingen anledning att ha den igång -> 100% säker på intrång Annars är vpn en bra lösning. kör du linux med ssh så finns det också OTP lösningar mot ex google auth.
Och som nämnts, ominstallera burken direkt ev återställ en backup från tidigare skede. Men om du är minsta osäker så installera om från scratch.

Edit: Om du har loggar så kan du kolla när någon loggade in på den, troligen dåligt lösen och bruteforcad? Eller inte uppdaterad och hackad genom en rdp sårbarhet. Man brukar kunna se, som standard, varje login i loggen där kan du se när det skedde och basera din återställning på det.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Apr 2008
Skrivet av kelthar:

Min windows 2012 r2 gick ner för nån dag sedan. Efter jag startade upp den igen och skulle koppla upp mig med RDP så sa den att den hade ett nytt certifikat. När jag loggade in så såg jag att det var en proxy server för browsing som pekade på 127.0.0.1.

Känslan är att servern blivit infekterad av någonting. Jag har inte haft något antivirus installerat. IIS:en (80/443) och FileZilla (21 + PASV ports) och terminal services har varit de enda exponerade portarna ut, men det säger ju ingenting egentligen.

Men det låter som typiska symptom enligt mig. Finns det någon anledning till att servern skulle ha ett nytt cert p.g.a någon uppdatering?

Ser det ut som i denna handledning så är detta kanske lösningen?

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Registrerad
Jun 2019
Skrivet av kelthar:

Ja, jag har funderat på att sätta den bakom OpenVPN via routern eller liknande, men inte brytt mig jättemycket :). Använder den knappt längre. Kommer antagligen installera Ubuntu på den när jag väl kopierat alla viktiga filer.

Även om du inte använder den: Om någon annan har använt den så har de varit innanför ditt nätverks perimeterskydd. Det betyder att du också potentiellt kan ha fått exempelvis router eller IoT-enheter knäckta "bakvägen".

Vad jag glömde nämna i mitt förra svar:
Om du har samma eller liknande lösenord på annat än specifikt den här servern, se till att byta dessa.

Ubuntu är ingen dum ide, men en felkonfigurerad Linuxserver är inte mindre känslig för angrepp än en felkonfigurerad Windowsmaskin.

VPN är en bra ide om du vill komma åt ditt hemmanätverk utifrån, men se i så fall till att du sätter upp det med certifikatsbaserad säkerhet istället för användarnamn/lösenord (om det senare fortfarande är ett alternativ).

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Aug 2004
Skrivet av Dr.Mabuse:

Ser det ut som i denna handledning så är detta kanske lösningen?

Jag såg den också. Det behandlar symptomet, inte källan. ... Tack så mycket!

Det gör så att den inte den inte använder proxyn längre, men programmet som sätter dit den hela tiden finns kvar tänker jag.

Intel eller AMD? Snarare x86 eller ARM.

Jag välkomnar våra ARM overlords med öppna armnar när de kommer! :)

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Aug 2004
Skrivet av Det Otroliga Åbäket:

Även om du inte använder den: Om någon annan har använt den så har de varit innanför ditt nätverks perimeterskydd. Det betyder att du också potentiellt kan ha fått exempelvis router eller IoT-enheter knäckta "bakvägen".

Vad jag glömde nämna i mitt förra svar:
Om du har samma eller liknande lösenord på annat än specifikt den här servern, se till att byta dessa.

Ubuntu är ingen dum ide, men en felkonfigurerad Linuxserver är inte mindre känslig för angrepp än en felkonfigurerad Windowsmaskin.

VPN är en bra ide om du vill komma åt ditt hemmanätverk utifrån, men se i så fall till att du sätter upp det med certifikatsbaserad säkerhet istället för användarnamn/lösenord (om det senare fortfarande är ett alternativ).

Ja, jag funderar på detta. Jag undrar hur fan något kan ha tagit sig in. Det är bara den servern som är exponerad utåt. Och routern så klart. Men routerns webinterface är inte exponerat utåt. AiCloud är avstängt och de få öppna portarna är forwardade till servern som har en brandvägg. Det är inget på nätverket som har samma lösenord som servern. Delar inte lösenord mellan maskiner, så det är iaf något som jag kan vara nöjd med. Men faktumet kvarstår att något har tagit sig in. Antagligen är det någon brist i RDP, FileZilla eller brute force. Lösenordet till RDP var 12 slumpade tecken, så det borde tagit en stund för att ta sig in. Mycket lutar åt FileZilla faktiskt. Jag får kolla nån gång när jag orkar ta ner datorn från garderoben och skaka fram en skärm till den.

Alla OS har väl brister, dock så är det inget speciellt med Windows som jag behöver längre nu när .net kan köras på linux. Har haft den som webbserver och filserver. Det enda jag har som är viktigt är min källkod och mina foton och det ligger in på någon single point of failure-hårdvara.

Men utifrån symptomen så låter det som min server har blivit kompromenterad, eller hur?

Intel eller AMD? Snarare x86 eller ARM.

Jag välkomnar våra ARM overlords med öppna armnar när de kommer! :)

Trädvy Permalänk
Medlem
Registrerad
Okt 2005
Skrivet av kelthar:

Ja, jag funderar på detta. Jag undrar hur fan något kan ha tagit sig in. Det är bara den servern som är exponerad utåt. Och routern så klart. Men routerns webinterface är inte exponerat utåt. AiCloud är avstängt och de få öppna portarna är forwardade till servern som har en brandvägg. Det är inget på nätverket som har samma lösenord som servern. Delar inte lösenord mellan maskiner, så det är iaf något som jag kan vara nöjd med. Men faktumet kvarstår att något har tagit sig in. Antagligen är det någon brist i RDP, FileZilla eller brute force. Lösenordet till RDP var 12 slumpade tecken, så det borde tagit en stund för att ta sig in. Mycket lutar åt FileZilla faktiskt. Jag får kolla nån gång när jag orkar ta ner datorn från garderoben och skaka fram en skärm till den.

Alla OS har väl brister, dock så är det inget speciellt med Windows som jag behöver längre nu när .net kan köras på linux. Har haft den som webbserver och filserver. Det enda jag har som är viktigt är min källkod och mina foton och det ligger in på någon single point of failure-hårdvara.

Men utifrån symptomen så låter det som min server har blivit kompromenterad, eller hur?

Var servern patchad? Finns en del exploits i rdp, t ex bluekeep.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Jun 2019
Skrivet av sKRUVARN:

Var servern patchad? Finns en del exploits i rdp, t ex bluekeep.

Bluekeep gällde väl bara versioner före Server 2012?
Därmed inte sagt, som sagt, att det är en bra ide att presentera RDP utåt ändå, utan ytterligare försiktighetsåtgärder.

Trädvy Permalänk
Medlem
Registrerad
Jun 2019
Skrivet av kelthar:

Men utifrån symptomen så låter det som min server har blivit kompromenterad, eller hur?

Jag har svårt att tänka mig varför du skulle se de symptomen annars, men jag är inte helt hundra på min sak.
Oavsett: Eftersom du verkar ha bra lösenordshygien låter det som att det är en svaghet i något kommunikationsprotokoll som lett till knäcket - om det nu är det som hänt - och då bör du definitivt fundera på a) att se över vilka program (eller versioner) du använder för att presentera tjänster, och b) hur många av de tjänsterna du faktiskt behöver presentera naket ut mot Internet.

Trädvy Permalänk
Medlem
Registrerad
Okt 2005
Skrivet av Det Otroliga Åbäket:

Bluekeep gällde väl bara versioner före Server 2012?
Därmed inte sagt, som sagt, att det är en bra ide att presentera RDP utåt ändå, utan ytterligare försiktighetsåtgärder.

Det är iof sant, går väl dock att göra sig sårbar om man aktivt stänger ner säkerheten för rdp (t ex för att öppna för att rdp kan fungera med opatchade system).

Är dock inte den enda, denna dök väl upp rätt nyligen, gäller även nyare windows os https://portal.msrc.microsoft.com/en-US/security-guidance/adv...

Trädvy Permalänk
Medlem
Registrerad
Aug 2006

Alla Windows-versioner är påverkade av olika varianter av Bluekeep. Rapid7 släppte i fredags förra veckan (rena skämtet att de gör det innan en helg) data som kan användas för att lätt bygga exploits med egna payloads, så nu kan även "script kiddies" utnyttja dessa.

Oavsett så är det helt vansinnigt att exponera RDP ut mot Internet.