نفوذ به سرور از طریق LAN داخلی

[masumi]

با سلام
شبکه ای در حدود 60 نود را پشتیبانی مکنم با یک سرور 2003 و active directory در این شبکه افرادی حرفه ای به عنوان کاربر در واحدهایی غیر از واحد کامپیوتر مشغول هستند اخیرا متوجه شدم که شخصی با کامپیوتر خودش
به سرور نفوذ میکند البته نمیدانم از چه راهی این کار را انجام میدهد من remote desktop را برای سرور غیر فعال کردم.میخواستم پروتکل icmp را برای سرور غیرفعال کنم ولی نمدانم چگونه .لیست پورتهای باز را با دستور netstat -na پیدا کردم ولی نمیدانم چگونه پورتهای باز را ببندم وکه در حالت listening نباشند البته به شرطی که مشکلی در کار سرور رخ ندهد .از دوستانی که در رابطه تخصصی دارند تقاضای کمک دارم

[omid_mohagerani]

چطور مطمئن شدید که به سرور شما نفوذ شده ؟ لاگ ها را چک کردید . آی دی اس دارید یا فقط ...
نفوذ به یک ویندوز عادی هم که حتی فایروال آن Stop باشه به این راحتی ها نیست .

به هرحال اگر نفوذی هم در کار نباشه بالا بردن امنیت ضرر نداره .

نتایج یک گوگل ساده :

http://www.cites.uiuc.edu/security/by_os/win2k3srv.html
http://www.lboro.ac.uk/computing/sec...03-server.html
http://www.windowsecurity.com/
http://www.cals.cornell.edu/cals/cal...d-IIS6-pdf.pdf

موفق باشید.

[moslem_b19]

لطفا در مورد آی دی اس اگه میشه برام یکی توضیح بده
ممنون

[koorosh]

IDS: Intrusion Detection System

سیستمی که امکان شناسایی حملات به شبکه را فراهم می کند.

[shast]

2003 ؟؟؟ عزیز 2003 کلی باگ داره .... از Webdav بگیر تا SQL که روش نصب می شه همشون باگ لوکال حتی ریموت رو هم دارند ... IDS هم برای شبکت مشکل ایجاد می کنه .. پورت ها هم کشک نیست که ببندی همشون ماله یک سرویسی هستن .... من به شخصه احتمال میدم باگ Netbios داره سرورت ... Netbios رو ببند ... اگر امکان داره لاگ هارو بزار تا بتونم بیشتر کمکت کنم ...

[hraeissi]

دوست من سلام

لطف کن بگو چگونه متوجه شدی به سرورت نفوذ کردن . مگر رمز آن لو رفته .

[alone_]

آیا همیه ی کامپیوتر ها با یوزر اصلی (admin) وارد میشن ؟!

اگه این جوری باشه من تجربه هک کردن به این شکل را دارم


بگو تا بگم چه شکلی

شاید هم از یه راه دیگه نفوذ میکنه

[reza21]

دوست عزیز شما با یه نرم افزار اسکنر سرور رو بررسی کن و باگهای سرور رو فیکس کن
چک کن رو سرورت backdoor ران نکرده باشن که با یه پورت اسکنر میتونی پورتهای باز مشکوک رو چک کنی
یه rootkit اسکنر هم بذار رو سرور از لحاظ روت کیت سرو رو چک کن!
با یه نرم افزار پروسس مونیتور هم پروسسهای سرور رو چک کن
برای بستن ICMP این مسیر رو برو:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Ser vices\\Tcpip\\Parameters
و گزینه EnableICMPRedirect رو برابر 0 قرار بده
شاید یکی از کارمندا رو سیستم شما یا خودش کیلاگر نصب کرده یا با مهندسی اجتماعی ازتون اطلاعات گرفته!

NetBIOS, SMB and null sessions رو هم رو سرور چک کنید.

در صورت نیاز به نرم افزار یا هر اطلاعات دیگه همینجا مطرح کنید.
با آرزوی موفقیت برای شما

[802.1x]

از اولین اقداماتی که می تونی به منظور نفوذ احتمالی دوباره انجام بدی این هستش که بروزرسانی های موجود رو بر روی سرور مورد نظر نصب کنید.

نرم افزارهای غیر ضروری رو از روی سرور از نصب خارج کنید.

سرویس های غیر ضروری رو از نصب خارج کنید.

برنامه Microsoft Security Configuration Wizard رو اجرا کرده تا بدین ترتیب پورتهای غیر ضروری و همچنین سرویس های غیر ضروری رو مسدود کرده و همچنین فایروال رو هم به وسیله همین ابزار بر روی سرور خودتون فعال کنید.

موفق باشید.

[shast]

این دوست عزیز مارو سر کار گذاشته ... عزیز جان برای شما داریم میگیما .. از وقتی که این تاپیک رو باز کردی یک نگاه ننداختی

[hdadmarz]

[

[parviz_p_t]

اگه ممکنه روش بستن Netbios رو توضیح بدید سپاسگذار آموزشتون

[M-r-r]

قربان گوگل کنید سریع به نتیجه میرسید :

how to close netbios - Google Search

همون لینک اول که تشریف ببرید :

How to Close NetBIOS group of ports

این رو میتونید بدست بیارید :

Disable unnecessary or unwanted service, this process
Sometimes called “hardening” which is highly desirable for security purposes. Some users may wish to harden their system in order to avoid the need for a firewall. In other cases, a user may wish to perform a temporary hardening in order to safely access the internet for the first time after installing Windows. Updates, patches, and security software can then be downloaded. This article describes a hardening method which doesn’t require downloading anything from the internet. This is first method which is simple but the instructions here are aimed at power users who aren’t afraid to alter the registry, and who knows enough to back it up before making changes. The changes made are reversible of course.

The ports that are found on a new install that required closing include the NetBIOS (file and printer sharing) group … ports 137, 138 and 139 … with the associated (on this system) port 445. Also, DCOM port 135 must be closed.

Below is the procedure for closing these ports.

The NetBIOS group of ports

From the desktop, select Start - Settings - Network and Dialup connections. Depending on how many internet adapters you have installed, there may be several Local Area Connection items. Start with your primary hardware adapter. In my case it’s an Ethernet adapter as shown below:

Double click on this item and select Properties. Uninstall everything except Internet Protocol (TCP/IP).


Select the Sharing tab and uncheck “Enable Internet connection sharing for this connection”. Click “OK”.

Right click on the Local Area Connection item again and select “Properties”. Select “Properties” again.
Then select “Advanced”. Click on the WINS tab. Select “Disable NetBIOS over TCP/IP”.

Click “OK”. There is no need to reboot at this point. Just hit Cancel if prompted.
Check your other adapters (Local Area Connections) to make sure their settings are identical to the new settings of this first adapter.

Port 445
———–
From the desktop select Start - Run and type regedit
Find the key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetBt\Parameters
Double click on the item TransportBindName
Remove the string of characters in Value Data leaving it blank.
Make a note of the Data string value for possible future reversal purposes.

Exit the registy editor.

Port 135
———–
From the desktop, select Start - Run
Type: c:\winnt\System32\Dcomcnfg.exe
Select “Default Properties”
Uncheck “Enable Distributed Com on this computer”
Select “Default Protocols”
Remove any listed, leaving a blank

Start the registry editor again and find the key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
With Rpc highlighted, click on Edit at the upper left of the screen. Click on New and then select Key.
You will see a key added under Rpc. Rename the key Internet (See screenshot below).
With that new key highlighted (as below) select Edit again. Click on New and then string. Enter the Name UseInternetPorts. Then double-click on the newly created item UseInternetPorts and enter N for the Data value.

Note that reversal can be done simply by deleting the Internet key you added.
You are done. Exit the registry editor and reboot.

To check your work, open a DOS window (CMD.EXE) and type netstat -an immediately after booting up. I’ve found that when working with a new install of Windows (no updates or patches), the result is empty. No ports appear at all. After updating to IE 6 I find a tcp port numbered just over 1024 Listening. Sometimes udp port 68 will appear as well. These ports are not open. Immediately after hardening, it is ok to go ahead and install Sp 4 and all the critical security patches.

You can verify that all ports are closed by going on the internet, and using web sites which offer port scanning services.
Here are a few links:

http://scan.sygatetech.com/
PC Flank: Make sure you're protected on all sides.
https://www.grc.com/x/ne.dll?bh0bkyd2

In addition to backing up all your data, it’s wise to do periodic checks. In the context of this article, one simple check is the net stat -a test to make sure nothing you’ve installed has modified the work you have done here. Make sure to do this check after a Windows Update, or after installing any new Windows services. As said above changes made are reversible. If at later time you wish to enable file and printer sharing with other computers on your local network, there is a free utility named wwdc.exe available which will do much of the reversal automatically.

It’s a good idea to disable services you’re not using in order to further harden the OS and lighten the load on available resources. For example, if you don’t use Fax, disable it. Similarly, Telnet can be disabled. Wideband users can safely disable Telephony. If your computer has no printer installed, the Print Spooler can be disabled. If you prefer to do Windows updates periodically when you do maintenance and backups, there’s no reason to have Automatic Updates enabled. I don’t use Task Scheduler, and I disable it as well.

There are several other items that I’ve disabled, such as TCP/IP NetBIOS Helper Services, Net Meeting Remote Desktop Sharing, Remote Access Auto Connection Manager, Remote Access Connection Manager, and Remote Registry Service.

الحمدلله متن ساده هست و براحتی میتونید کاری که میخواین رو انجام بدین .
موفق باشید .