Fly BBS 2.0

Cheslav Osanadze написал(а) к Egor Glukhov в Apr 24 00:37:41 по местному времени:

Привет Egor!

09 Апр 24 23:30, Egor Glukhov -> Cheslav Osanadze:

AA>>>>> осуществлен через RDP.
CO>>>> Ок. Так какой путь взлома был? По пункту 1. Ну и вообще. Что
CO>>>> бы мы не пренебрегали, а то ведь есть это всё, а какую лазейку
CO>>>> там нашли?
EG>>> Вангую, что венда с торчащим наружу RDP
CO>> А как его можно заторчать наружу? у меня - он торчит или нет? И
CO>> что надо, что бы не было вот?

EG> Загуглить "отключить удалённый рабочий стол" например.

Это ты про "отключить RDP"? Или про что? Если про отключение именно его, то по умолчанию он и отключён, вопрос я задал иной.

У меня - он включён, я тебе и пишу через RDP. Где там Дырка?

EG>>> и отключенными обновлениями, а то и вообще 7/Vista/XP
EG>>> даунгрейдерская.
CO>> Там - аналогичные вопросы.

EG> Там вопросы к до сих пор пользующимся таковыми и при этом ходящим в
EG> инет.

:) Не понятно ничего.


Cheslav.


... Из произведений Некрасова крестьяне узнали, как им плохо живется...
---

Alexey Andreev написал(а) к All в Apr 24 06:58:46 по местному времени:

Привет, All!

Подробности по взлому:

Да RDP торчал наружу, на роутере был проброшен порт 3389. Самое смешное, накой хрен я это сделал? Так как за все время работы ББС я сам ни разу им не воспользовался, работая с сервером и BBS по RDP только из домашней сети.
Плюс пароль на RDP был длинной всего 9 символов, поверхностное изучение вопроса показало что на перебор такого пароля требуется около 3 дней.
На сервере стояла Windows Server 2008 R2. Да система старовата, но ее поддержка закончилась только в январе 2023го, и все имеющиеся обновления были установлены. Так что взлом с использования уязвимости системы я считаю менее вероятным. На кой лезть в форточку, если хозяин ключ от двери держит под ковриком?
Конечно на сервере все было запущено из под активной стандартной учетки Администратор (тут без коментариев).
Антивируса на сервере установлено небыло, но в этом случае он врятли-бы помог.

Вот ответ DRWEBa по поводу моего шифровальщика:

Здравствуйте! Файлы зашифрованы Trojan.Encoder.37506 (#Enmity) Расшифровка нашими силами невозможна. Единственный способ восстановления данных - из резервных копий, если они имеются. Во избежание повторных заражений используйте актуальную версию Dr.Web https://download.drweb.com Поведенческий анализатор Dr.Web Process Нeuristic эффективно защищает от новейших неизвестных угроз. Благодаря схожести поведения многих вредоносных программ Dr.Web Process Нeuristic выявляет те из них, которые еще неизвестны Dr.Web, - в частности, новые модификации Trojan.Encoder и Trojan.Inject и блокирует их до того,...

P.S. Нет, это не вброс...


С уважением - Alexey
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Egor Glukhov написал(а) к Cheslav Osanadze в Apr 24 03:01:48 по местному времени:

Cheslav,

10 Apr 24 00:37, you wrote to me:

EG>>>> Вангую, что венда с торчащим наружу RDP
CO>>> А как его можно заторчать наружу? у меня - он торчит или нет? И
CO>>> что надо, что бы не было вот?
EG>> Загуглить "отключить удалённый рабочий стол" например.
CO> Это ты про "отключить RDP"? Или про что? Если про отключение именно его,
CO> то по умолчанию он и отключён, вопрос я задал иной.

CO> У меня - он включён, я тебе и пишу через RDP. Где там Дырка?

Ну тогда надо проверить, что твой комп не доступен за пределами локалки по порту 3389. Если речь про IP-адрес твоей ноды, то вроде нет.

EG>>>> и отключенными обновлениями, а то и вообще 7/Vista/XP
EG>>>> даунгрейдерская.
CO>>> Там - аналогичные вопросы.
EG>> Там вопросы к до сих пор пользующимся таковыми и при этом ходящим в
EG>> инет.
CO> :) Не понятно ничего.

Куда ж проще? Сначала ходим в инет из ОСи, к которой годами не выпускались обновления безопасности, потом "плак-плак, хаккиры поломали".

Егор Глухов
--- GoldED+/LNX 1.1.5-b20240309

Cheslav Osanadze написал(а) к Egor Glukhov в Apr 24 07:47:40 по местному времени:

Привет Egor!

10 Апр 24 03:01, Egor Glukhov -> Cheslav Osanadze:

EG>>>>> Вангую, что венда с торчащим наружу RDP
CO>>>> А как его можно заторчать наружу? у меня - он торчит или нет?
CO>>>> И что надо, что бы не было вот?
EG>>> Загуглить "отключить удалённый рабочий стол" например.
CO>> Это ты про "отключить RDP"? Или про что? Если про отключение
CO>> именно его, то по умолчанию он и отключён, вопрос я задал иной.

CO>> У меня - он включён, я тебе и пишу через RDP. Где там Дырка?

EG> Ну тогда надо проверить, что твой комп не доступен за пределами
EG> локалки по порту 3389. Если речь про IP-адрес твоей ноды, то вроде
EG> нет.

Да, речь про него, про IP из нодлиста.

Там же не только RDP, ещё и НTTP сервер. Никаких специальных защит - не астраивал.

EG>>>>> и отключенными обновлениями, а то и вообще 7/Vista/XP
EG>>>>> даунгрейдерская.
CO>>>> Там - аналогичные вопросы.
EG>>> Там вопросы к до сих пор пользующимся таковыми и при этом
EG>>> ходящим в инет.
CO>> :) Не понятно ничего.

EG> Куда ж проще? Сначала ходим в инет из ОСи, к которой годами не
EG> выпускались обновления безопасности, потом "плак-плак, хаккиры
EG> поломали".

W7, более новая - туда не лезет. Да и эта работает так, что обнять и плакать.:) Сразу ностальжи, по первому компу. :)


Cheslav.


... Или пан, или пpопан.
---

Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 10:43:46 по местному времени:

Нi Cheslav!

09 Apr 24 21:55, Cheslav Osanadze -> Egor Glukhov:

EG>> Вангую, что венда с торчащим наружу RDP

CO> А как его можно заторчать наружу? у меня - он торчит или нет?

https://2ip.ru/port-scaner/

CO> И что надо, что бы не было вот?

Закрыть фаерволом. ;)

Нave nice nights.
Stas Mishchenkov.

--- Вечеринка - это как утренник, только ты не зайчик, а свинья.

Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 10:57:24 по местному времени:

Нi Cheslav!

09 Apr 24 21:55, Cheslav Osanadze -> Egor Glukhov:

AA>>>> Значит такое дело, в прошедшие выходные моя ББСка была взломана,
AA>>>> а все файлы на сервере с BBS - зашифрованы (да я сам кусок
AA>>>> дурака и постарался знатно, что-бы это случилось). Взлом был
AA>>>> осуществлен через RDP.
CO>>> Ок. Так какой путь взлома был? По пункту 1. Ну и вообще. Что бы
CO>>> мы не пренебрегали, а то ведь есть это всё, а какую лазейку там
CO>>> нашли?

EG>> Вангую, что венда с торчащим наружу RDP

CO> А как его можно заторчать наружу? у меня - он торчит или нет?

[fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru
Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK
Nmap scan report for cheslav.g0x.ru (78.36.198.169)
Нost is up (0.057s latency).
Not shown: 65532 filtered ports
PORT STATE SERVICE
80/tcp open http
24554/tcp open binkp
50903/tcp open unknown

RDP порт - 3389.

Нave nice nights.
Stas Mishchenkov.

--- Мудрость - это когда ты всё понимаешь, но уже не огорчаешься.

Cheslav Osanadze написал(а) к Stas Mishchenkov в Apr 24 11:03:27 по местному времени:

Привет Stas!

10 Апр 24 10:57, Stas Mishchenkov -> Cheslav Osanadze:

EG>>> Вангую, что венда с торчащим наружу RDP

CO>> А как его можно заторчать наружу? у меня - он торчит или нет?

SM> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru
SM> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK
SM> Nmap scan report for cheslav.g0x.ru (78.36.198.169)
SM> Нost is up (0.057s latency).
SM> Not shown: 65532 filtered ports
SM> PORT STATE SERVICE
SM> 80/tcp open http
SM> 24554/tcp open binkp
SM> 50903/tcp open unknown

SM> RDP порт - 3389.

"Дядя, я не настоящий сварщик, я только маску нашёл!".

Ни о чём, для меня, этот набор цифр.:)



Cheslav.


... Конечно, истина в вине, но что-то есть и в закyске!
---

Alexey Khromov написал(а) к Stas Mishchenkov в Apr 24 16:07:16 по местному времени:

Здраствуйте, Stas!

10 апр 24 10:57, Stas Mishchenkov -> Cheslav Osanadze:

SM> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru
SM> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK
SM> Nmap scan report for cheslav.g0x.ru (78.36.198.169)
SM> Нost is up (0.057s latency).
SM> Not shown: 65532 filtered ports
SM> PORT STATE SERVICE
SM> 80/tcp open http
SM> 24554/tcp open binkp
SM> 50903/tcp open unknown

SM> RDP порт - 3389.

ЕМНИП приоритетно UDP для RDP)
нмапом -sU надо добавить

В обсчем и целом если на виндах включен удаленный помощник - RDP по UDP активен.
можно с помощью родного фаерволла перекрыть. а желательно и пинг снаружи им же зарезать.



Alexey Khromov
--- GoldED+/LNX 1.1.5-b20240309

Stas Mishchenkov написал(а) к Cheslav Osanadze в Apr 24 16:55:24 по местному времени:

Нi Cheslav!

10 Apr 24 11:03, Cheslav Osanadze -> Stas Mishchenkov:

EG>>>> Вангую, что венда с торчащим наружу RDP

CO>>> А как его можно заторчать наружу? у меня - он торчит или нет?

SM>> [fido@brorabbit ~]$ nmap -sT -p- cheslav.g0x.ru
SM>> Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-10 10:54 MSK
SM>> Nmap scan report for cheslav.g0x.ru (78.36.198.169)
SM>> Нost is up (0.057s latency).
SM>> Not shown: 65532 filtered ports
SM>> PORT STATE SERVICE
SM>> 80/tcp open http
SM>> 24554/tcp open binkp
SM>> 50903/tcp open unknown

SM>> RDP порт - 3389.

CO> "Дядя, я не настоящий сварщик, я только маску нашёл!".

CO> Ни о чём, для меня, этот набор цифр.:)

У тебя RDP порт наружу голой жопой не торчит. ;)

Нave nice nights.
Stas Mishchenkov.

--- День прошел вроде бы неплохо, но на всякий случай лучше выпить.

Cheslav Osanadze написал(а) к Stas Mishchenkov в Apr 24 17:00:21 по местному времени:

Привет Stas!

10 Апр 24 16:55, Stas Mishchenkov -> Cheslav Osanadze:

SM>>> 50903/tcp open unknown

SM>>> RDP порт - 3389.

CO>> "Дядя, я не настоящий сварщик, я только маску нашёл!".

CO>> Ни о чём, для меня, этот набор цифр.:)

SM> У тебя RDP порт наружу голой жопой не торчит. ;)

Не моя заслуга! Вообще в эту сторону ничего не делал и не смотрел даже.


Cheslav.


... Человек - это звучит гордо, но выглядит отвратительно
---