[ninza]

Ok, jag tror jag precis blev hackad.
Dum och korkad som jag varit den senaste månaden så har en Windows server jag har pipigt rätt ofta, men lat och arrogant som jag är sket jag i de och la de åt sidan då just den servern inte varit någon större prioritet.

Hur som helst så inser jag nu varför den har pipigt, någon/något har knappat in miljoner olika bokstav och siffer kombos som password(Notera att jag använt mig av Windows egna Remote Desktop och då piper de för varje fel lösenord. För 2 dagar sedan kom jag inte längre åt mina webbsidor på den servern eller via Remote Desktop och bad då min kära vän åka dit och kolla, han kom dit idag och burken var fortfarande igång och rullade men jag kommer som sagt inte åt saker och ting ändå. Han rebootar och jag kommer snabbt åt burken och webbsidorna men inser snabbt att jag inte kan logga in via Remote Desktop. Lösenordet är inte de jag satte.
Och jag hade inte någon speciellt stor webbsida på den burken, dock hade jag en virtuell burk PÅ den som hade en sida som snittade ~1000 unika per dag men de är ju då inte samma IP till den som mainservern som jag inte kommer åt nu. För jag tycker de verkar konstigt att någon dum liten unge nere i Kuba ska gå på en burk som knappt gör något. Men vad vet jag om de.

Så min fråga är väl typ, har detta hänt er? Vad bör jag göra för att KANSKE kunna få tillbaka mina stuff? Finns de något sätt jag kan komma in i burken?

Kommentarer såsom "skyll dig själv" osv undanbedes, jag är fullt medveten om att jag borde reagerat på detta tidigare och gjort något åt de.

Tackar på förhand för seriösa svar. Lite humor kan vi självklart se i detta
Tjo!

[Jonas]

Skaffa fysisk tillgång till maskinen och återställ lösenordet ? Finns olika guider, man kan bla göra detta via Linux mm.

[ninza]

Citat:

Originally posted by Jonas@Jul 13 2009, 03:51
Skaffa fysisk tillgång till maskinen och återställ lösenordet ? Finns olika guider, man kan bla göra detta via Linux mm.

De jag hittade var bara reset discs som man måste gjort innan installationen av själva OS'et, men jag kanske inte letade noga enough. Får kolla vidare.

Via linux?

Tack.

Edit: Hittade detta som en moderator på sweclockers hade länkat tydligen. http://home.eunet.no/pnordahl/ntpasswd/

[Jonas]

Exakt, ntpasswd fixar det åt dig...

En sak du skall göra omedelbart. Stäng inloggning för Administratörs konto, skapa ett konto där användarnamnet är komplicerat samt även lösenordet.

Användarnamnet kan vara i stil:
<förnamn> + <födelserår> + <efternamn>

Ett lösenord som är godkänt (minst 8 tecken, blandade versaler & gemener, specialtecken mm)

Notera att flesta bruteforce verktyg använder inte meta tecken (åäö), så svenska tecken är utmärkta.

[Conny Westh]

Spärra användaren efter 3 ogiltiga inloggningsförsök så minskar du risken att bruteforce verktyg har någon framgång.

[jonny]

Det finns verktyg för att få fram administratörslösenordet.

Du kan göra mycket för att öka säkerheten med brandvägg och kanske använda en annan port än standard etc.

[ninza]

Citat:

Originally posted by Jonas@Jul 13 2009, 04:36
Exakt, ntpasswd fixar det åt dig...

En sak du skall göra omedelbart. Stäng inloggning för Administratörs konto, skapa ett konto där användarnamnet är komplicerat samt även lösenordet.

Användarnamnet kan vara i stil:
<förnamn> + <födelserår> + <efternamn>

Ett lösenord som är godkänt (minst 8 tecken, blandade versaler & gemener, specialtecken mm)

Notera att flesta bruteforce verktyg använder inte meta tecken (åäö), så svenska tecken är utmärkta.

Kan inte skapa nånting då jag inte kommer åt/in i burken. Admin kontot var tragiskt nog de enda.

[KristianE]

ninza:
Efter du återställt ditt lösenord så
skapar du en ny användare med
admin-rättigheter och inaktiverar
det gamla admin-kontot.

Sen sätter du ett tokstarkt lösenord.

Jonas förslag är bra. ÅÄÖ är ruggigt
bra att använda tillsammans med
symboler. Tänk också på att ju längre
lösenord du har desto bättre. Mitt förslag
är 12-15 tecken som du skriver ner
och sparar på ett säkert ställe (inte
okrypterat i din dator!). Efter ett par
inloggningar så har du lärt dig lösen-
ordet utantill.

Byt även porten på RDP från 3389.

Spara heller inte lösenordet i RDP-
sessionen på din vanliga dator.

För att ytterligare öka säkerheten
i RDP-sessionen bör du köra denna
genom en VPN-tunnel. RDP är krypterat
på Microsofts egna hemliga vis. Men
är det någonsin någon som sett en
pop-up-ruta som ber dig godkänna
serverns publika nyckel? Nej precis,
krypteringsnycklarna är satta helt
statiskt i Windows.

Ni kan enkelt göra ett test mellan två
XP-maskiner som kör RDP. Lägg till
en tredje på nätverket och med en
enkel mjukvara läser ni av hela RDP-
sessionen. Fast att den är krypterad
i 128 bitar!

[ninza]

Citat:

Originally posted by KristianE@Jul 13 2009, 11:48
ninza:
Efter du återställt ditt lösenord så
skapar du en ny användare med
admin-rättigheter och inaktiverar
det gamla admin-kontot.

Sen sätter du ett tokstarkt lösenord.

Jonas förslag är bra. ÅÄÖ är ruggigt
bra att använda tillsammans med
symboler. Tänk också på att ju längre
lösenord du har desto bättre. Mitt förslag
är 12-15 tecken som du skriver ner
och sparar på ett säkert ställe (inte
okrypterat i din dator!). Efter ett par
inloggningar så har du lärt dig lösen-
ordet utantill.

Byt även porten på RDP från 3389.

Spara heller inte lösenordet i RDP-
sessionen på din vanliga dator.

Ok, ska göra detta, drar dock på semester just idag vilket är jävligt kass tajming.

Får tacka för svar och hoppas jag lyckas återställa lösenordet.

[SimonP]

Citat:

Originally posted by KristianE@Jul 13 2009, 10:48
Men är det någonsin någon som sett en
pop-up-ruta som ber dig godkänna
serverns publika nyckel? Nej precis,
krypteringsnycklarna är satta helt
statiskt i Windows.

Ni kan enkelt göra ett test mellan två
XP-maskiner som kör RDP. Lägg till
en tredje på nätverket och med en
enkel mjukvara läser ni av hela RDP-
sessionen. Fast att den är krypterad
i 128 bitar!

Ja, det har jag sett ofta, det går utmärkt att köra RDP via SSL mot t.ex en Win 2003 server. Kör man en Windows server är det oftast 2000/2003/2008 och inte XP (där det inte går att använda SSL via RDP).