نفوذ به سرور از طریق LAN داخلی

[masumi]

با سلام
شبکه ای در حدود 60 نود را پشتیبانی مکنم با یک سرور 2003 و active directory در این شبکه افرادی حرفه ای به عنوان کاربر در واحدهایی غیر از واحد کامپیوتر مشغول هستند اخیرا متوجه شدم که شخصی با کامپیوتر خودش
به سرور نفوذ میکند البته نمیدانم از چه راهی این کار را انجام میدهد من remote desktop را برای سرور غیر فعال کردم.میخواستم پروتکل icmp را برای سرور غیرفعال کنم ولی نمدانم چگونه .لیست پورتهای باز را با دستور netstat -na پیدا کردم ولی نمیدانم چگونه پورتهای باز را ببندم وکه در حالت listening نباشند البته به شرطی که مشکلی در کار سرور رخ ندهد .از دوستانی که در رابطه تخصصی دارند تقاضای کمک دارم

[omid_mohagerani]

چطور مطمئن شدید که به سرور شما نفوذ شده ؟ لاگ ها را چک کردید . آی دی اس دارید یا فقط ...
نفوذ به یک ویندوز عادی هم که حتی فایروال آن Stop باشه به این راحتی ها نیست .

به هرحال اگر نفوذی هم در کار نباشه بالا بردن امنیت ضرر نداره .

نتایج یک گوگل ساده :

http://www.cites.uiuc.edu/security/by_os/win2k3srv.html
http://www.lboro.ac.uk/computing/sec...03-server.html
http://www.windowsecurity.com/
http://www.cals.cornell.edu/cals/cal...d-IIS6-pdf.pdf

موفق باشید.

[shast]

2003 ؟؟؟ عزیز 2003 کلی باگ داره .... از Webdav بگیر تا SQL که روش نصب می شه همشون باگ لوکال حتی ریموت رو هم دارند ... IDS هم برای شبکت مشکل ایجاد می کنه .. پورت ها هم کشک نیست که ببندی همشون ماله یک سرویسی هستن .... من به شخصه احتمال میدم باگ Netbios داره سرورت ... Netbios رو ببند ... اگر امکان داره لاگ هارو بزار تا بتونم بیشتر کمکت کنم ...

[hraeissi]

دوست من سلام

لطف کن بگو چگونه متوجه شدی به سرورت نفوذ کردن . مگر رمز آن لو رفته .

[alone_]

آیا همیه ی کامپیوتر ها با یوزر اصلی (admin) وارد میشن ؟!

اگه این جوری باشه من تجربه هک کردن به این شکل را دارم


بگو تا بگم چه شکلی

شاید هم از یه راه دیگه نفوذ میکنه

[reza21]

دوست عزیز شما با یه نرم افزار اسکنر سرور رو بررسی کن و باگهای سرور رو فیکس کن
چک کن رو سرورت backdoor ران نکرده باشن که با یه پورت اسکنر میتونی پورتهای باز مشکوک رو چک کنی
یه rootkit اسکنر هم بذار رو سرور از لحاظ روت کیت سرو رو چک کن!
با یه نرم افزار پروسس مونیتور هم پروسسهای سرور رو چک کن
برای بستن ICMP این مسیر رو برو:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Ser vices\\Tcpip\\Parameters
و گزینه EnableICMPRedirect رو برابر 0 قرار بده
شاید یکی از کارمندا رو سیستم شما یا خودش کیلاگر نصب کرده یا با مهندسی اجتماعی ازتون اطلاعات گرفته!

NetBIOS, SMB and null sessions رو هم رو سرور چک کنید.

در صورت نیاز به نرم افزار یا هر اطلاعات دیگه همینجا مطرح کنید.
با آرزوی موفقیت برای شما

[802.1x]

از اولین اقداماتی که می تونی به منظور نفوذ احتمالی دوباره انجام بدی این هستش که بروزرسانی های موجود رو بر روی سرور مورد نظر نصب کنید.

نرم افزارهای غیر ضروری رو از روی سرور از نصب خارج کنید.

سرویس های غیر ضروری رو از نصب خارج کنید.

برنامه Microsoft Security Configuration Wizard رو اجرا کرده تا بدین ترتیب پورتهای غیر ضروری و همچنین سرویس های غیر ضروری رو مسدود کرده و همچنین فایروال رو هم به وسیله همین ابزار بر روی سرور خودتون فعال کنید.

موفق باشید.