+ Rispondi al Thread
Pagina 1 di 2 12 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 12

Discussione: desktop remoto hack su server dedicato

  1. #1
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97

    desktop remoto hack su server dedicato

    Ciao ho un problema con l'applicazione di Desktop Remoto.

    Un mese fa ho noleggiato due server dedicati.
    Ho installato su entrambi Windows server 2012 R2.
    Mi connetto da casa tramite Desktop Remoto.
    Non ho installato nessun antivirus e nessun Firewall.
    Come difesa c' solo il firewall di Windows.
    In entrambi i server non ho mai installato browser e non ho mai navigato.
    Faccio solo girare alcuni miei programmi scritti in .net che si collegano ad un server (programmo in modo amatoriale).
    Come utente ho lasciato 'Administrator', ed ho cambiato la password iniziale (inserendo maiuscole, minuscole, numeri e caratteri speciali).
    Due anni fa, avevo gi noleggiato per un anno un server dedicato con un'altra compagnia, e non avevo mai avuto problemi, aprivo la connessione e la tenevo aperta anche pi di un giorno senza avere mai cadute.
    Invece ora, nei rimi giorni ho notato in entrambi i server delle continue disconnessioni.
    Ho cercato di capire a cosa erano dovute, e aprendo il visualizzatore degli eventi 'Event Viewer'.
    andando in:
    Applications and Services\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational
    Ho visto che c'erano molte disconnessioni con codice 12, 5 e 0.
    Cercando su internet per entrambi i codici non ho trovato una ragione particolare.
    Dopo qualche giorno le disconnessioni sono terminate.
    Per ho notato una cosa strana.
    Dopo qualche minuto di connessione, visualizzando lo stato delle connessioni al dosPrompt chiamando 'netstat -ano' ho visto che oltre alla mia connessione di desktop remoto, c'era una connessione identica (nell' IP locale, nella porta locale e nel PID) per proveniente da un indirizzo IP esterno differente.
    Su 'Whois.Domaintools' ho verificato che l'indirizzo proveniva da Mosca.
    Ho chiuso e riaperto la connessione.
    Ho eseguito 'netstat -ano' e c'era solo la mia connessione.
    Per dopo alcuni minuti riapparso un nuovo indirizzo IP esterno, questa volta dalla Cina.
    Ho cambiato la password, e ho controllato per tutto il giorno, niente, ma a fine serata il problema si ripresentato, questa volta con un indirizzo dalla Svezia.
    La stessa cosa capitata con il secondo server, ...indirizzo da Taywan... dalla Svezia... e da altre parti del mondo.
    Addirittura a volte c'erano due connessioni agganciate alla mia connessione.

    Cercando una risposta sul motore di ricerca e su youtube ho visto che ci sono alcuni programmi che 'sniffano' la rete internet alla ricerca di connessioni nelle quale riuscirsi ad infiltrare.
    Non so cosa pensare.

    A me sembra che qualcuno inizialmente aveva 'bombardato' continuamente i server (dato che c'erano continue cadute della connessione), e poi ha trovato un modo per 'infiltrarsi' tra il mio computer di casa e il server dedicato, e qui le disconnessioni non c'erano pi, per comparivano indirizzi IP esterni che sembrano 'agganciarsi' alla mia connessione di desktop remoto.

    Vi allego gli screenshot che ho fatto ogni volta che ho visto un nuovo indirizzo.









    Non so cosa pensare.
    Mi sapete aiutare in qualche modo?
    Vorrei capire cosa succede, chi che si connette, come, e se c' un modo per fermarlo o difendermi.

    Grazie a tutti quelli che mi possono aiutare.

  2. #2
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Cercando su 'whois' a chi appartiene ogni indirizzo IP, ho notato una cosa particolare: sono tutti indirizzi che appartengono a degli internet provider oppure a societ di servizi internet che offrono tunnel o backbone:

    210.61.127.138 Taywan Telecom
    117.156.241.147 China mobile
    80.251.231.172 Russia TeleTu
    108.228.33.194 USA AT&T servizi internet
    184.105.139.68 USA Hurrican Electric Servizi internet (in particolare offrono 'free tunnel broker' e 'internet backbone')
    91.211.0.107 Svezia-Russia Societ di servizi internet (Questo un indirizzo interessante, perch facendo una ricerca su internet non riporta direttamente ad una grande societ di servizi, ma su 'AbuseIPD' si trovano molti 'report' di attivit hacker abusive provenienti dallo stesso 'range' di indirizzi internet appartenenti a questa societ)

    Non so che dire.

  3. #3
    L'avatar di AntonioG
    AntonioG non  in linea Moderatore Globale Ultimo blog: Commodore 64 e Codemotion
    Luogo
    Roma
    Post
    16,004
    Blogs
    5
    Comincia dall'installare antivirus e firewall.
    Avvisi generali e importanti, a pena CHIUSURA thread e/o BAN
    Il crossposting vietato.
    Le richieste di "pappa pronta" sono vietate.
    Utilizzate i tag CODE per il codice.
    Leggere il Regolamento per chiarimenti PRIMA di creare nuovi thread.
    Utilizzare sempre i PM per comunicare con i moderatori.
    Non mi contattate in PM per problemi di software, usate il forum

  4. #4
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Grazie AntonioG.
    Per l'antivirus, oggi ho installato Avira e Malwarebytes, su entrambi i server, e ho avviato le scansioni, nessun virus.
    Per il Firewall.
    Prima di affidarmi ad un Firewall che non saprei neanche configurare, vorrei capire come configurare il Firewall di Windows che c' gi.
    Poi magari potrei cercare qualcosa d'altro.
    Avrei bisogno di un p di aiuto, spero che tu o qualcun'altro mi possiate aiutare.

    Dato che:
    - non uso browser, non navigo in internet
    - non scarico programmi, quelli necessari li copio/incollo tramite la connessione di Desktop Remoto
    - non uso programmi p2p
    - uso solo il server con due connessioni, una in uscita ad un server esterno, ed una in entrata tramite la connessione di Desktop Remoto
    - uso solitamente Avira antivirus e Malwarebytes
    - ho un sistema Windows Server 2012 R2
    Vorrei capire come cercare di iniziare a settare il Firewall di Windows (in pratica vorrei chiudere tutte le porte ed abilitare solo quelle poche che mi servono, inoltre le connessioni attraverso quelle porte vorrei limitarle ad alcuni programmi, computer e utenti, tutto questo creando delle regole di connessione in entrata ed in uscita, nelle impostazioni avanzate del Firewall di Windows).

    Ma vorrei soprattutto capire cosa st succedendo ora nel server, dato che non mi era mai capitato di vedere due connessioni attive riferite ad un unico PID, delle quali una la mia connessione, e l'altra rimanda ad un server casuale e 'fantasma', che sempre un server di una compagnia di servizi internet.

    Se non sbaglio il PID un identificatore di Windows di ogni processo in esecuzione.
    Le due connessioni hanno il PID riferito all'esecuzione del file C:\Windows\System32\svchost.exe.
    Correggimi se sbaglio, credo che ogni processo visualizzato nel Task Manager l'esecuzione di un thread di un programma, e nel mio caso sembra che il file svchost.exe normalmente 'gestisce' la mia connessione con un thread, ma ogni tanto ne 'gestisce' un'altra chissdove con l'esecuzione di un altro thread.

    Domanda:
    Potrebbe forse essere una copia (malware) di un file di Windows che sempre in esecuzione, al quale stato aggiunto un thread che gestisce una seconda connessione di Desktop Remoto, che viene periodicamente innescata, o che viene innescata quando vengono avviati alcuni eventi, con dei certificati falsi?
    Se cos fosse si potrebbe a prima vista verificare la dimensione del file.

    Dico questo perch oggi ho notato pi volte una cosa particolare:

    Quando compare una connessione fantasma con lo stesso PID della mia connessione Desktop Remoto, nella schermata del Task Manager, relativo ai processi in BackGround, compare un secondo processo "COM Surrogate" (C:\Windows\System32\dllhost.exe, di 20.0 kb), e a volte compare anche una copia del processo "WMI Provider Host" (C:\Windows\System32\wbem\WmiPrvSE.exe, che nel mio caso ha dimensione di 504 Kb).
    Ho notato che ogniqualvolta ci sono le due connessioni, compaiono questi due processi.
    Ho notato inoltre che quando i miei programmi sono in funzione, la connessione al 'server fantasma' perdura ininterrottamente per tutto il giorno, mentre quando non c' nessun mio programma in esecuzione, la connessione al server fantasma (e la seconda copia del processo 'COM Surrogate') durano pochi secondi, e scompaiono insieme.

    Pi volte oggi ho verificato che:
    - eseguendo 'netstat -ano' c'era solo la mia connessione.
    - Quando constatavo che il Desktop Remoto non rispondeva, chiudevo la connessione di Desktop Remoto e ne riaprivo una nuova.
    - Al rientro, rieseguivo il comando 'netStat -ano', e questa volta c'erano due connessioni su un unico Pid, la mia e quella relativa ad un indirizzo IP fantasma (di un Provider casuale in giro per il mondo).
    - Istantaneamente riaprendo il Task Manager c'erano due identici processi "COM Surrogate" in background.
    - Dopo pochi secondi uno dei due processi scompariva.
    - Rieseguendo 'netStat -ano' scompariva la connessione fantasma e rimaneva solo la mia connessione di Desktop Remoto.

    Vorrei infine dire che tutte queste circostanze le ho verificate con i server 'puliti', cio non era installato alcun antivirus e firewall, e non c'era nessun programma in esecuzione.

    ...Non so... Spero che qualcuno mi dica che penso male e mi corregga.
    Ora prover a controllare i files in questione su 'VirusTotal' e cercher notizie su internet a proposito delle normali dimensioni dei files.

  5. #5
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Mi sono appena accorto che la connessione Desktop Remoto era bloccata:
    l'ho chiusa e riaperta.
    Al rientro ho aperto il task manager e fatto una snapshot



    Poi ho avviato cmd
    Nei pochi secondi in cui aprivo il dosPrompt mi sono accorto che uno dei due processi 'COM Surrogate' scompariva, per inviando il comando 'netstat -ano' risultavano due connessioni fantasma
    NB ho verificato su internet e pare proprio che in questi giorni lo stesso range di indirizzi IP stato bannato innumerevoli volte per PortScan e Hack Attempt

    https://www.abuseipdb.com/check/91.211.2.103



    Attualmente Avira in esecuzione, ma non st rilevando nulla, ho mandato in scansione anche Malwarebytes aggiornato ma non ha trovato nulla.

  6. #6
    L'avatar di AntonioG
    AntonioG non  in linea Moderatore Globale Ultimo blog: Commodore 64 e Codemotion
    Luogo
    Roma
    Post
    16,004
    Blogs
    5
    Avvisi generali e importanti, a pena CHIUSURA thread e/o BAN
    Il crossposting vietato.
    Le richieste di "pappa pronta" sono vietate.
    Utilizzate i tag CODE per il codice.
    Leggere il Regolamento per chiarimenti PRIMA di creare nuovi thread.
    Utilizzare sempre i PM per comunicare con i moderatori.
    Non mi contattate in PM per problemi di software, usate il forum

  7. #7
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Grazie AntonioG,

    Per...

    Ho seguito le indicazioni del link che mi hai dato.
    Problema:
    Ho cercato di installare i due antivirus proposti nell'articolo (Reimage, Plumbytes Anti-Malware), Malwarebytes lo avevo gi.
    Nel primo server (Windows Server 2012 R2):
    appena cliccavo sul file di installazione di Reimage lo stesso file veniva cancellato!
    stessa cosa se cliccavo sul file di installazione di Plumbytes.

    Sul secondo server invece, sempre con Windows Server 2012 R2, avviando Reimage, il programma partiva ma dopo un attimo compariva il messaggio che Reimage non funziona su Windows Server 2008 R2 (...io ho 2012 R2).
    Invece avviando Plumbytes, si apriva una finestra di messaggio che indicava che il sistema era carente di risorse per eseguire l'installazione (xeon 8gb...)

    Insomma, per motivi diversi non sono riuscito ad installare entrambi i software.

    Ho provato con il mio computer da casa.
    Installando Reimage su Windows 7 pro, il programma ha trovato varie chiavi di registro fuori posto, ma nessun virus.
    In compenso anzich risolvere il problema delle chiavi di registro, c'era l'unica opzione di acquistare il programma a 24 euro per poter proseguire.
    Ho provato ad installare Plumbytes e questo programma... ha individuato un centinaio di virus... Tutti ricondotti a Reimage.
    Al che ho scansionato sia con Avira che con Malwarebytes...
    Sia Avira che Malwarebytes hanno trovato 200 malware appena installati da Reimage e Plumbytes.
    In particolare Avira ha rilevato un modello di virus PUA/FakeSec (Cloud) nel file di installazione di Plumbytes Antimalware.
    (non) Provare per credere.

    Allora ho cercato altro su internet ed ho trovato questo link:
    https://malwaretips.com/blogs/dllhos...ogate-removal/
    Seguendo le indicazioni ho scaricato:
    -ESET Poweliks
    -RKill
    -Hitman pro
    -Zemana

    Li ho installati ed eseguiti tutti e quattro su entrambi i server con Windows 2012 R2 senza problemi.
    Nessun malware trovato.
    Poi ho riscansionato i sistemi con Avira e Malwarebytes ed erano puliti.

    Al momento ho controllato le connessioni con netStat e ci sono solo le connessioni di Avira e del mio remote desktop.

    Non so che dire, pare che al momento il cyberattacco ai due server sia terminato.

  8. #8
    Marcixxx non  in linea Scolaretto
    Luogo
    Imperia
    Post
    97
    Oggi ho modificato la regola di connessione al server tramite Desktop Remoto.

    https://support.managed.com/kb/a2139...p-address.aspx

    Ho impostato come unico indirizzo Ip Esterno, l'indirizzo del mio router di casa.
    Poi ho riavviato il sistema.

    Il problema pi grosso nel fare questa modifica quando si st usando la stessa connessione che se si sbaglia qualche passaggio non si riesce pi ad utilizzare la connessione ( un p come chiudere la porta di casa con le chiavi dentro).
    Io ho prima provato tra due computer in casa.

    In rete ho anche trovato un link utile.

    https://code.msdn.microsoft.com/wind...l-the-4817b58f

    E' un esempio in C# per la visualizzazione delle connessioni attive, che pu essere utilizzato anche come mini programma fine a se stesso.
    Rappresenta una datagridview che visualizza tutte le connessioni TCP o UDP attive, e riporta ip locali e remoti, porte locali e remote, stato della connessione, PID e nome del processo ( come avere un comando netstat ciclico, e che riporta anche alcuni dati del Task Manager).
    Inoltre pu anche registrare un log di tutti gli eventi.

  9. #9
    L'avatar di nman
    nman non  in linea Scribacchino
    Luogo
    Milano
    Post
    1,622
    Quote Originariamente inviato da Marcixxx Visualizza il messaggio
    ...... Ho impostato come unico indirizzo Ip Esterno, l'indirizzo del mio router di casa. ......
    It tuo router di casa ha un IP a lato WAN statico ????
    controlla bene questo dettaglio ......

    se non fosse cosi alla prima riaccensione del router (non sto parlando di PC)
    il tuo provider ti assegna un altro IP (a lato WAN) casuale

    Quote Originariamente inviato da Marcixxx Visualizza il messaggio
    ...... un p come chiudere la porta di casa con le chiavi dentro ......
    .

  10. #10
    net-addiction non  in linea Scolaretto
    Luogo
    Treviso
    Post
    470
    Ciao,
    prima di tutto io mi assicurerei della salute del computer che si connette in RDP (il tuo) perch se la situazione come la descrivi l'unico modo per accedere a quei server con diritti amministrativi "tramite" la tua macchina.
    Decisamente ci vuole un firewall che blocchi gli accessi non autorizzati. Io personalmente nella tua situazione proverei a cambiare la porta RDP in ascolto sui server per vedere se il problema persiste.
    - The user formerly known as GRiM[R]eaPeR -

+ Rispondi al Thread
Pagina 1 di 2 12 ultimoultimo

Tag per questa discussione

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi