» Взлом сервера посредством RDP

Доброго времени суток!

Необходима консультация знающих людей.

Ситуация такая - есть сервак под Windows Server 2003, ISA Server 2004, антивирус Nod 32 v.4.2, к серверу открыт доступ по RDP, естественно, только для администраторов.
Сервак был взломан посредством RDP, причем была взломана именно учётка админа, но не с именем "Admin', "Administrator" и тд, а учетка с "нестандартным" именем, которое просто невозможно узнать, не являясь администратом организации.

Как вообще это можно было сделать, не имея списка пользователей сервера? а уж, тем более тех, кто имеет права доступа админа? пароль взломать можно было, да, признаю, был слишком простым. но узнать учётку админа?

Журнал событий не сохранился.

Может быть, кто-то сталкивался с подобным?

Kolycheva, ты до того как натянули твой сервак не пробовал в гугле набрать "безопасность rdp" или что-нибудь подобное? сразу будет вагон ссылок с разъяснениями что и как. поднимай шифрование сессии, а лучше vpn и перекрывай кислород везде кроме как на его интерфейсе

Можете вы дать конкретную ссылку, где описаные возможное способы взлома протокола RDP, потому что гугл исхожен вдоль и поперёк.
И вопрос вообще-то ставился так - как можно было узнать логин доменного пользователя, не будучи пользователем этой сети?

Цитата:

Как вообще это можно было сделать, не имея списка пользователей сервера? а уж, тем более тех, кто имеет права доступа админа?

никого из ИТ не увольняли в последнее время с проблемами?

bga83
Нет, с этой стороны ничего быть не могло.

Ищите крота в организации. Ну и логи посмотрите, может что осталось...

Kolycheva
Троян на машинке, откуда ходили на терминал. Вероятно.

Kolycheva
Так, ради интереса, напишите версию файла C:\WINDOWS\system32\drivers\rdpwd.sys

FL0od13

версия 5.2.3790.4881

Kolycheva

Цитата:

Сервак был взломан посредством RDP

и какие криминальные действия совершены, что то пропало-потерто? в чем выражался "ВЗЛОМ"

Kolycheva

Цитата:

версия 5.2.3790.4881

Ваш сервер не обновлялся с июля 2011 года, и RDP уязвим, как минимум, по бюллетеню MS12-020 (CVE-2012-0002 + CVE-2012-0152).
CVE-2012-0002 позволяет удалённо выполнить произвольный код в системе с правами SYSTEM.
CVE-2012-0152 позволяет отправить сервер в BSOD.

Для CVE-2012-0152 в сети точно есть бесплатные рабочие эксплоиты.
Как-то давно я их тестировал. Могу продемонстрировать, если Вы пришлёте IP-адрес и порт RDP

Наверняка, уже можно найти эксплоиты и для CVE-2012-0002, а это уже совсем другие возможности...

А с чего взяли что был взлом, может это просто инсайд-саботаж???

FL0od13

Спасибо, пороюсь в этом направлении.

AcidSly NegoroX

Вот как раз с этим сейчас и разбираемся. Пока выяснили только одно - хоть учётка администратора и находится в группе "администраторы", но таковой во всех аспектах не является. Для примера - не удаётся запустить Sfc.exe (требует права админа).
Кто-нибудь может подсказать, как решить проблему? так как это является принципиальным

Цитата:

CVE-2012-0002 позволяет удалённо выполнить произвольный код в системе с правами SYSTEM.

Рабочий эксплойт есть и для CVE-2012-0002 http://www.securitylab.ru/poc/421793.php
Я лично из-за этой уязвимости год назад специально обновил все имеющиеся Windows-сервера.

Если сервер с открытым RDP-портом смотрит в интернет то рекомендую сменить номер порта в реестре.

Короче, мораль сей басни такова: а нехрен выставлять порт 3389 наружу. Если лениво создавать нормальную vpn инфраструктуру, то хотя бы сменить номер порта на что-то более нейтральное. На этом обсуждение можно и закончить, ибо ничего путного из этого не вырастет.

vlary

Нет, я не спорю, но теперь хотелось бы выяснить, как восстановить права админа.

Цитата:

Для примера - не удаётся запустить Sfc.exe (требует права админа).

Это как это? что пишет?
просто запрет на запуск программ - это обычно вирус.

Добавлено:

Цитата:

vlary

Нет, я не спорю, но теперь хотелось бы выяснить, как восстановить права админа.

Диски по восстановлению паролей windows?

Kolycheva

Цитата:

Нет, я не спорю, но теперь хотелось бы выяснить, как восстановить права админа.

С последней резервной копии накатить, вестимо. При отключенном доступе в интернет. Потом в офлайне RDP пропатчить и актуализировать обновления, и уже потом сервак в инет выпускать.

Вообще-то из-под rdp нельзя запустить sfc \scannow это можно сделать только локально подключившись! Т.о. паника у вас была напрасной и взлома скорее всего не было!;) Хоть и с запазданием, но такого ответа не было и соответсвенно, он еще актуален, а Win Server 2003 до сих пор актуален, т.к. часто его замена на более современные нецелесообразна а иногда тяжела и неоправданна.