مشکل امنیتی بسیار خطرناک ویندوز - مهم

**viasky** · April 18th, 2017, 16:40

نوشته اصلی توسط bluehost

خب درسته حساب کاربری ها رو میشه غیرفعال کرد اما راه نفوذ هنوز باز هست و دوباره میتونن وارد بشن و بسازن اون رو
همونطور که گفتید از طریق باگی که در یکی از رول هایی که در سرور وجود داره احتمال میره جهت دور زدن و آلوده کردن سرور ها استفاده میکنن

اگر توانایی داشت که حساب های دلخواه ایجاد کنه تمام یوزرهای ایجاد شده مثل هم نبود
دو مورد هست
net Framwork.
IIS
پس باید یک احتمال داد که فقط می تونه این دو حساب و ایجاد کنه
و باز هم به نسخه framwok شما بستگی داره که IIS داره باهاش کار میکنه
اگر 4 فعال باشه هم 2 ایجاد میشه هم 4
اگر 2 باشه فقط یک حساب 2 ایجاد می کنه
که اگر شما ایجاد کرده باشی خودت و محدود کرده باشی
احتمال اینکه نتونه این کار و مجدد انجام بده خیلی بالاست از نظر من
چون در اون سطح دسترسی نداره و البته ممکنه مثل Backdoor هم عمل کنه
یعنی با این حساب به صورت backdoor وصل میشه ( برای مثال)
پس از هرجهت نگاه کنیم به نظر من اگر ممکنه باشه یک محدودیتی روی حساب ها ایجاد کرد
برای مثال نصب AD و فقط مجوز یک یوزر به صورت کلی صادر بشه
اجازه ورود و باز هم میگیره
البته تمام این موارد و بر اساس این فرض عرض میکنم که ورود اون دوست محترم و گرامی و عزیز وابسته به حساب کاربری باشه

- - - Updated - - -

نوشته اصلی توسط pardishosting

سرور هایی که ما دیدیم حدودا 10 تا - اکثرا تک کاربره بودند و اصلا چیزی هم اضافه نشده.

لطفا لاگ و بررسی کنید شاید ایجاد شده و مجدد حذف شده
لطفا بررسی کنید مورد مشکوکی بود بفرمایید

**Gh-Moradi** · April 18th, 2017, 16:42

دوستان این خطر فقط ویندوزهای سرور رو تهدید میکنه یا اینکه ویندوزهای خانگی هم مورد هدف هستند؟

**viasky** · April 18th, 2017, 16:42

نوشته اصلی توسط s_s_sos2003

بر روی سرور من هیچ نام کاربری جدیدی اضافه نشده اما سیستم آلوده شده است . به نظر دوستان ایا امکان پیدا شدن راه حل و یا کشف کلید استفاده شده برای دیکریپت کردن وجود دارد یا بی خیال اطلاعات موجود شده و مجدد ویندوز نصب کنم؟

روی سرور شما iis فعال بود؟

- - - Updated - - -

نوشته اصلی توسط iraniam2000

درود
من از شما سرور دارم و دو روز قبل که به سرور وصل بودم و البته استفاده هم نمیکردم متوجه شدم log off شده و در بین نام های کاربری متوجه نام کاربری که ایجاد نکرده بودم با نام asp.net2 یا asp.net4 هست (درست خاطرم نیست ) که بلافاصله اون را حذف کردم و سرور الان هم مشکلی نداره البته دیروز چند ساعتی شما سرور را خودتان گویا خاموش کرده بودید

هکر بررسی میکنه اگر فایل مهمی نداشته باشید ممکنه بگذره از ادامه کار و سرور و رها کنه
چون هدف باج افزار هست و وقتی حجم سرورها بالا باشه از سرویس هایی که از نظر اون به درد نمیخوره گذشت میکنه

**aligilani1986** · April 18th, 2017, 16:50

سلام به همه دوستان گرامی

متاسفانه سرور شخصی ما هم دچار همین مشکل شده. فقط از دوستان یک سوال دارم ، ایا شما توی سرورهاتون چیزی بعنوان .key پیدا کردید؟ این کلید اگر پیدا بشه میشه فایلها رو برگردوند

**iraniam2000** · April 18th, 2017, 16:51

نوشته اصلی توسط viasky

روی سرور شما iis فعال بود؟

- - - Updated - - -

هکر بررسی میکنه اگر فایل مهمی نداشته باشید ممکنه بگذره از ادامه کار و سرور و رها کنه
چون هدف باج افزار هست و وقتی حجم سرورها بالا باشه از سرویس هایی که از نظر اون به درد نمیخوره گذشت میکنه

والله بکاب ده تا سایت و کلی اطلاعات روی سرور هست حالا شاید از نظر اون به دردنخور بوده ولی کلا زیادی از اندازه به دردبخور هست اطلاعات روی سرور و اگر خودش دست نزده که واقعا دستش درد نکنه اگه آدرس تماسی دارید بدید برم تشکر کنم ازشون

کلا دو سه ثانیه بعد از اتفاقی که افتاد اکانت نا آشنا را حذف کردم

**eb.darya** · April 18th, 2017, 16:55

سوال اینجاست :
آیا فقط نصب پچ ها و به روز بودن ویندوز میتونه کافی باشه برای جلوگیری از آلوده شدن به این باج افزار ؟؟
ایا کسی از دوستان هست که علیرغم به روز بودن ویندوزش از همه اپدیت ها باز هم آلوده شده باشه ؟

**pardishosting** · April 18th, 2017, 16:56

من فکر می کنم iis خیلی موثر باشه چون از طریق iis میشه اسکن کرد وضیعت سرور رو و تشخیص داد ویندوز بودن سرور و ...
چون فایروال روشن باشه ip پینگ نداره که بشه سیستم فعال رو تشخیص داد.

**viasky** · April 18th, 2017, 16:56

نوشته اصلی توسط iraniam2000

والله بکاب ده تا سایت و کلی اطلاعات روی سرور هست حالا شاید از نظر اون به دردنخور بوده ولی کلا زیادی از اندازه به دردبخور هست اطلاعات روی سرور و اگر خودش دست نزده که واقعا دستش درد نکنه اگه آدرس تماسی دارید بدید برم تشکر کنم ازشون

کلا دو سه ثانیه بعد از اتفاقی که افتاد اکانت نا آشنا را حذف کردم

اطلاعات مهم دارید هماهنگ کنید بنده براتون رایگان بک آپ تهیه می کنم
بله از نظر اون به درد نخورده ظاهرا یا به چشم نیومده...
لطفا موارد امنیتی و پیگیری بفرمایید کامل
موفق باشید

**bluehost** · April 18th, 2017, 17:00

نوشته اصلی توسط Gh-Moradi

دوستان این خطر فقط ویندوزهای سرور رو تهدید میکنه یا اینکه ویندوزهای خانگی هم مورد هدف هستند؟

سلام
فعلا ویندوز سرور های 2008 و 2012 مورد حمله قرار گرفته

**iraniam2000** · April 18th, 2017, 17:03

نوشته اصلی توسط viasky

اطلاعات مهم دارید هماهنگ کنید بنده براتون رایگان بک آپ تهیه می کنم
بله از نظر اون به درد نخورده ظاهرا یا به چشم نیومده...
لطفا موارد امنیتی و پیگیری بفرمایید کامل
موفق باشید

ممنون
همان دیروز که سرور در دسترس قرار گرفت بلافاصله آنتی ویروس نصب کردم و برای بکاب هم چون سرور اختصاصی دارم بلافاصله بکاب برداشتم ضمنا همانطور که گفتید iis هم فعال هست البته چون از سرور گاهی برای دانلود شخصی استفاده میکنم فعال کردم ولی به هر صورت فعال هست
خدا را شکر الان سرور و اطلاعاتش سالم هستند

موضوع: مشکل امنیتی بسیار خطرناک ویندوز - مهم

ابزارهای موضوع

نحوه نمایش موضوع

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

تعداد تشکر ها از viasky به دلیل پست مفید

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

پاسخ : مشکل امنیتی بسیار خطرناک ویندوز - مهم

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

آسیب‏ پذیری در پروتکل امنیتی ntlm ویندوز

ویندوز های خود را بروز کنید نقض امنیتی ms14-068

فروش ویژه سرور مجازی لبنوکیس و ویندوز به مناسبت فرا رسیدن عید نوروز

فرق ویندوز 2008 64 بیتی با 32 بیتی روی سرور خیلی زیاد است؟

مجوز های ارسال و ویرایش