Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2182 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  mon serveur est hacké !!!

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

mon serveur est hacké !!!

n°145918
killerinst​inct1
Posté le 06-04-2017 à 16:43:52  profilanswer
 

Bonjour
 
j'ai un serveur windows 2008 R2 avec des application intranet installé , aujourd'hui j'ai trouvé le serveur infecté par un ransomware qui crypte les fichier en donnant comme extension .sage , comment mon serveur est infecté ?  
 
j'ai déja donné le mot de passe de ce serveur a certain pour la maintenance de leur application intranet , mais je doute qu'il ont pu faire ça
 
quelqu’un a forcement exécuter le virus dans le serveur, mais comment il a accéder , (bureau a distance depuis le lan , team viewer,telnet...)
 
je veut savoir qui a fait ça ,j'ai vérifier le log de team viewer, et il y rien , je veut savoir si il ya des logs bureau a distance ,j'ai aussi vérifier les événement du serveur mais rien trouvé , es-que vous pouvez m’orientai pour trouvé qui ou comment?
 
je veut surtout pas que ça recommence , sachant que j'ai d'autre serveur

mood
Publicité
Posté le 06-04-2017 à 16:43:52  profilanswer
 

n°145919
Je@nb
Modérateur
In ze cloud
Posté le 06-04-2017 à 17:47:25  profilanswer
 

ton pseudo est mal choisi :D

n°145920
killerinst​inct1
Posté le 06-04-2017 à 18:03:46  profilanswer
 

merci cher modérateur pour ton précieuse aide.

n°145922
nnwldx
Posté le 06-04-2017 à 21:22:16  profilanswer
 

Les malwares font des fichiers readme.txt pour expliquer la marche à suivre pour payer la rançon.
Regarde le créateur de ce fichier, cela te donnera une piste.

n°145923
shocker13
Posté le 06-04-2017 à 22:17:39  profilanswer
 

killerinstinct1 a écrit :

Bonjour
 
j'ai un serveur windows 2008 R2 avec des application intranet installé , aujourd'hui j'ai trouvé le serveur infecté par un ransomware qui crypte les fichier en donnant comme extension .sage , comment mon serveur est infecté ?  
 
j'ai déja donné le mot de passe de ce serveur a certain pour la maintenance de leur application intranet , mais je doute qu'il ont pu faire ça
 
quelqu’un a forcement exécuter le virus dans le serveur, mais comment il a accéder , (bureau a distance depuis le lan , team viewer,telnet...)
 
je veut savoir qui a fait ça ,j'ai vérifier le log de team viewer, et il y rien , je veut savoir si il ya des logs bureau a distance ,j'ai aussi vérifier les événement du serveur mais rien trouvé , es-que vous pouvez m’orientai pour trouvé qui ou comment?
 
je veut surtout pas que ça recommence , sachant que j'ai d'autre serveur


 
 
Regarde qui est propriétaire des fichiers cryptés pour voir si ça vient d'un autre poste.  
 
Sî il y'a eu brute force pour passer par le bureau à distance tu peux le voir dans le journal de sécurité Windows. Tu verras de nombreuses tentatives d'ouverture de session.  
 
Est ce que les partages administratifs sont activés sur le serveur ?  

n°145924
Quich'Man
No Fat...
Posté le 06-04-2017 à 22:36:35  profilanswer
 

il partage des fichiers en smb ton serveur ? si ca ne concerne que certains partages, c'est assez simple de savoir qui y a accès. comme dit plus haut le propriétaire des fichiers cryptés te donnera l'utilisateur par lequel c'est passé.
s'ils etaient passé par le rdp, ils auraient aussi probablement crypté le c: et donc tout le systeme. C'est arrivé chez un client.

n°145925
skoizer
tripoux et tête de veau
Posté le 07-04-2017 à 08:58:02  profilanswer
 

essaye d'identifié le type de ransomware
regarde cet outil anti ransomware
https://korben.info/recuperer-fichi [...] mware.html


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.
n°145927
killerinst​inct1
Posté le 07-04-2017 à 10:15:12  profilanswer
 

le propriétaire des fichiers crypté est l'administrateur du system, donc on a utilisé un accès administrateur, les dossiers et fichiers ciblé  ne sont pas partagé ,es-que j'ai raison de penser qu'un ransomeware ne peut pas s'autoexécuté? et pour le journal de l’accès bureau a distance , ça existe !!!

n°145943
nnwldx
Posté le 07-04-2017 à 12:26:28  profilanswer
 

Jette un oeil dans l'historique du navigateur, l'administrateur a pu naviguer sur un site contaminé.
Il y a peut être un outlook de configuré sur le serveur et l'administrateur a ouvert un message.

n°145945
Micko77666
Posté le 07-04-2017 à 13:15:10  profilanswer
 


Perso j'essai d'utiliser au mieux RSAT et les autres outils de prise à distance, pour éviter toutes interactions avec les serveurs.
 
 
Après oui ça sent l'admin qui a clic au mauvaise endroit :(

mood
Publicité
Posté le 07-04-2017 à 13:15:10  profilanswer
 

n°145953
jehan31
Posté le 07-04-2017 à 16:57:30  profilanswer
 

Bonjour,
Je n'ai pas la solution au problème proprement dit.
Cependant, comme votre réseau comporte beaucoup de serveurs et que vraisemblablement la sécurité est compromise au niveau administrateur, je ne saurai trop vous conseiller les choses suivantes :
- isoler le serveur infecté du réseau.
 
Désolé de ne pas pouvoir faire mieux, et bon courage avec ce genre de galère.
- changer les mots de passe de tous les utilisateurs du domaine (ou du moins les groupes avec privilèges sensibles pour l'activité de l'entreprise).

n°145965
killerinst​inct1
Posté le 08-04-2017 à 12:56:30  profilanswer
 

je croit que ce n'est pas un hacker exceptionnel !!! le seul mot de passe que j'ai donné a quelqu’un est celui du serveur infecté (serveur contient des applications intranet qui nécessite parfois des maintenance et mise a jour ....) les autres serveur non jamais été infiltré depuis 9 ans, on a pas infecté la bases de donnée SQl ,car il était en fonctions , un bon  (ou un mauvais ) hacker aura pensé a arrêter les services SQL.
 
un réseaux entreprise est très difficile pour être sécurisé ,tu est obligé de donner des mot de passe (surtout des fois quand on est trop occupé ) deuxième point faible ,c'est le réseaux wifi , on donne les mot de passe au clients (normal )  ,heureusement que j'ai configuré la sauvegarde automatique journalier et pu restaurer 98% des données.
 
on gros j'ai regardé l'historique de navigateur, événement sécurité Windows,le propriétaire des fichiers ,historique team viewer.
 
une autre piste si quelqu’un a eu le même problème.
 
merci a ceux qui m’ont rependu, c'est vraiment gentil de votre part  :)


Message édité par killerinstinct1 le 08-04-2017 à 12:56:57
n°145966
nnwldx
Posté le 08-04-2017 à 13:22:19  profilanswer
 

Il y a peu de chances que ce soit un hacker, je dirais qu'il s'agit de négligence.
Avec le créateur du fichier, tu as vu qu'il s'agissait de l'administrateur, tu peux regarder la date de création du fichier, cela peut t'indiquer si la manipulation était faite en journée ou pendant la nuit.
Attention certains malware modifient la date de création pour brouiller les pistes.
Il est possible que ce soit un utilisateur de la société du poste qui ait le disque du serveur mappé avec les logins d'admin.
Tu peux faire le tour des postes pour voir si un utilisateur n'aurait pas des fichiers cryptés sur son poste.
Ou cela pourrait être une redirection de port sur le routeur qui a été oubliée.
S'il y a du SQL, il y a peut être un prestataire en charge de la maintenance, c'est peut être qui a chiffré le disque.
 

n°145968
killerinst​inct1
Posté le 08-04-2017 à 14:16:31  profilanswer
 

la date de création des fichiers est le 05/04/2017 vert 19h GMT+1
en sort normalement à 18:30h
 
j'ai même regardé dans les enregistrement Caméra. c'est vraiment con le fait de ne pas trouvé le log bureaux a distance de Windows .

n°145969
killerinst​inct1
Posté le 08-04-2017 à 14:30:23  profilanswer
 

j'ai trouvé le log bureau a distance :
 
Please check the Event Viewer tree on the left side under "Applications and Services Logs -> Windows -> TerminalServices-*" where * is all of the logs there. I think you are most interested in the TerminalService-LocalSessionManager Operational log.
 
There is also a "RemoteDesktopServices-RemoteDesktopSessionManager" node in the event viewer tree on the left side under "Applications and Services Logs -> Windows". Only the Administrator role is allowed to view the file I believe. Please confirm and let me know if this addresses your use case.
 
 
si ça intéresse quelqu’un d'autre

n°145995
saarh
Posté le 10-04-2017 à 17:39:53  profilanswer
 

Pour le futur, crée des comptes en droit admin (ou plus restreint, selon leur besoin) pour tes presta, et ne les active que quand ils ont besoin de faire une maintenance....et désactivé le reste du temps. Chez moi il est inconcevable que quelqu'un mette les doigts sur un de mes serveurs sans que l'équipe info soit au courant. ça prend 2 secondes à ré-activer, et évitera pas mal de perte de temps future (voir de perte définitive de données....)  
Si c'est du team viewer, ne pas laisser un TW actif sur un serveur. Tu lance un Quick support à la demande. C'est comme à la maison, mon plombier, electricien, ou tonton Lucien qui passe tous les 4 ans, ben tu leur laisse pas les clefs de ta baraque ad vitae.... (c'est un coup à les voir débarquer à l'improviste alors que tu es avec ta maitresse....euh.....)
ça demande juste un peu de rigueur, et un tout petit peu de temps, mais tu seras déjà plus serein et auras éliminé une bonne partie de tes problèmes de sécurité immédiats... bien que je pense qu'il doit y avoir plus à faire !

n°146173
tazegue
Posté le 22-04-2017 à 08:26:23  profilanswer
 

Il me semble que le moyen le plus simple pour un hacker est de passer par le mail: toi ou l'un des utilisateurs du réseau ouvre un mail et lance une pièce jointe infectée et c'est le drame... Même si l'administrateur réseau maîtrise ses installations, c'est très difficile de surveiller les utilisateurs et les mails qu'ils ouvrent

n°147128
killerinst​inct1
Posté le 06-06-2017 à 13:34:58  profilanswer
 

pour les mails ,  j'envoie souvent un rappelle pour les utilisateurs pour ne pas ouvrir n'importe quoi , et malgré ça, on a un pc infecté de temps de temps (malgré l'antivirus & spyware) ,les mails reçu avec une pièce jointe (fichier compressé avec un programme .js ) , dernièrement l'attaque mondiale WANNACRY à fait beaucoup de dégât , en exploitant une faille Windows ,il faut faire ces MAJ Windows régulièrement.
et ne jamais oublié de faire une MAJ général .

n°147129
skoizer
tripoux et tête de veau
Posté le 06-06-2017 à 13:38:35  profilanswer
 

centralise la gestion des maj avec WSUS.
ne laisse pas les utilisateur gerer ou non l'instal des maj.
Car sinon c'est la catastrophe :/


---------------
Plus tu essaies de rentrer dans le moule, plus tu ressembles à une tarte.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  mon serveur est hacké !!!

 

Sujets relatifs
Montage NFS qui deconne sur un serveur HPUXServeur de connexion distant remplacement NAS
Backup complet d'un serveur Windows sur un cloud open sourceComment redonder accès à internet dans windows serveur ?
replication bureau pool serveur tseProblème sur serveur DNS
securiser serveur web de l'exterieurServeur, virtualisation, roles, licences
Remplacer Serveur RDS vieillissant par deux serveurs RDS + stockage 
Plus de sujets relatifs à : mon serveur est hacké !!!



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR