Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V3
Login / opret bruger

Forum \ Software \ Sikkerhed
Denne tråd er over 6 måneder gammel

Er du sikker på, at du har noget relevant at tilføje?

Hjemmeserver "hacket" og opsat mailserver?

Af Ultrabruger Pagger | 22-08-2017 10:30 | 2535 visninger | 13 svar, hop til seneste
Jeg har denne hjemmeserver, hvor jeg har haft åben for RDP udefra, uden at ændre porten (totalt bad practice, I know) Jeg undrede mig over noget performance relateret og kiggede så i Resource Manager og fandt dette: http://imgur.com[...] På første billede i højre hjørne (undskyld mine manglende paint-skills) er der at se Process ID 4: Mailserver.pagger.dk som bruger omkring 50mbit(det sidste fik jeg dog cuttet fra) Jeg har ikke nogen mail server kørende så jeg undrede mig, kiggede videre og jeg lagde så mærke til billede 2, hvor hvad jeg umiddelbart ser er at der er 6-7 personer der har en åben RDP forbindelse til serveren. Så min konklusion er at jeg er blevet "hacket" pga. port 3389 er åben ud af til i routeren, samt jeg ikke har nogen account lockout sat op, så jeg er vel bare blevet bruteforced indtil de har gættet koden, og så er der blevet sat en spam server op som går crazy med spam mails. Er der nogle der kan bekræfte det, eller er der måske noget jeg har overset eller misforstået? :P På forhånd tak for hjælpen!
--
#1
h3mp
Elite Supporter
22-08-2017 10:36

Rapporter til Admin
Har du Plex kørende? For det ligner da at din server at sat op til at transcode til de der personer. Kan ikke lige se hvor henne du kan se hvilken port de adresser i billede #2 kommer ind fra
--
/Niels
#2
Pagger
Ultrabruger
22-08-2017 11:28

Rapporter til Admin
#1 Ja jeg har plex kørende, og alt under CPU usage er også mig selv, men det skulle ikke have noget at gøre med problemet, som jeg så vidt kan se er en Mailserver - hvis man kigger til højre, på første billede, der hvor der er sat et ekstra billede ind. Under Network I/O med et System PID 4, samt adresse mail.pagger.dk. Samt de mange åbne RDP connections, man kan se på billedet nummer 2 under Network I/O med navnet SVCHOST.exe (termsvcs) og et system PID 2052, som går ud til forskellige IP addresser.
--
#3
|Smash|
Forumansvarlig
22-08-2017 11:45

Rapporter til Admin
Hent Process Monitor og Process Explorer for at se hvorfor System snakker med mail.pagger.dk. - https://docs.microsoft.com[...]
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!
#4
sorenwp
Semi Supporter
22-08-2017 11:56

Rapporter til Admin
kan ikke se i router / firewall hvem der har prøvet at få / har fået adgang via porten ?
--
Sidst redigeret 22-08-2017 12:00
#5
stallemanden
HOL Moderator
22-08-2017 12:42

Rapporter til Admin
De RDP connections du ser, behøver ikke betyde, at der er nogen der er inde. At System skulle forbinde til mailser.pagger.dk behøver ikke betyde, at der er en mailserver kørende. Hvad siger ping af mailser.pagger.dk ? Hvad siger "Task Manager" -> Users ?
--
http://hamdentykke.dk[...] http://onsdagssnegl.dk[...]
#6
Pagger
Ultrabruger
22-08-2017 12:52

Rapporter til Admin
#3 Ja det skulle jeg nok have gjort, men jeg valgte dog at tage de screenshots og så lukke for port 3389 så de mistede forbindelsen, så det er desværre ikke muligt længere. #4 Nej det er desværre bare en SOHO router uden mulighed for det #5 Det kan godt være jeg var for hurtig ude så, jeg undrede mig først over hvad det var, da jeg ikke bruger nogen mailserver, men da jeg så så alle de RDP connections, kunne jeg ikke umiddelbart se andre muligheder. Jeg er rimelig sikker på der kun var den ene user logget på, men det giver vel også mening hvis det er den de skulle have bruteforcet koden på? eller hvad, hvis den samme bruger er logget på flere gange, ville det så stå der? Den finder ingen host når jeg prøver at ping mailserver.
--
#7
stallemanden
HOL Moderator
22-08-2017 12:59

Rapporter til Admin
Du vil, med default opsætning, afbryde den anden person fra sin session, når du logger ind via RDP. Så session 1 vil blive lukket ned, når session 2 logger ind.
--
http://hamdentykke.dk[...] http://onsdagssnegl.dk[...]
#8
Pagger
Ultrabruger
22-08-2017 13:19

Rapporter til Admin
#7 Okay, så er min teori måske helt ved siden af. Jeg under mig bare virkelig over hvad det er på første billede helt til højre så, "System" Process ID 4, der snakker med en mailserver der ikke burde eksistere? den lægger på 90-100% Network Utilization over længere tid og sender afsted med 80-100 MBIT (og har gjort det længe) (og også lidt alle de mange RDP connections, vil de ikke forsvinde igen forholdsvis hurtig hvis det bare er forsøg på login?)
--
#9
stallemanden
HOL Moderator
22-08-2017 13:25

Rapporter til Admin
#8 System...det er systemet. Du antager, at den snakker med en mail-server. Der er angivet en adresse der hedder mailserver.pagger.dk. En URL der ikke findes i den store verden, så jeg formoder, at den eksiterer på dit eget netværk. Som adspurgt, hvilken IP får du hvis du prøver at lave en ping af mailserver.pagger.dk ?
--
http://hamdentykke.dk[...] http://onsdagssnegl.dk[...]
#10
stallemanden
HOL Moderator
22-08-2017 13:28

Rapporter til Admin
Mht. den høje netværkstrafik. Jeg tror du mistolker de ting du ser, og at det blot er de Plex-instanser der kører, der tager din båndbredde.
--
http://hamdentykke.dk[...] http://onsdagssnegl.dk[...]
#11
Pagger
Ultrabruger
22-08-2017 13:48

Rapporter til Admin
#9 Ja det er antaget ud fra navnet mailserver, du har ret, det kan selvfølgelig være hvad som helst, og ja pagger.dk er mit netværk, dog er der intet der hedder "Mailserver" og derfor siger den at den ikke kan finde hosten når jeg pinger den. #10 Det kan sagtens være, det var derfor jeg lavede denne tråd. Men hvorfor skulle plex vil snakke med noget der hedder mailserver, og hvorfor er der 6-7 forskellige SVCHost.exe (Termsvcs) processor der kører med forskellige IP'er (Jeg havde foriøvrigt ingen brugere der streamede på det tidspunkt, udover mig selv lokalt) jeg er pænt sikker på at plex ikke bruger det til noget, det eneste jeg kender der bruger det er som sagt RDP, derfor jeg forbandt det med det.
--
#12
Slettetbruger2119
Junior Nørd
22-08-2017 14:09

Rapporter til Admin
1: set wiresharp til at tjekke hvad der kommer til af trafik, hvis der er en mail server vil der komme mail trafik. 2: om du køre default port eller ej, giver ikke meget extra sikkerhed, kig hellere på at kun tillade visse ip adresser adgang. Eller opsæt en jump host på en af de gratis tiers på aws eller azure og hvor man nu ellers kan få billig cloud computers.
--
#13
Pagger
Ultrabruger
22-08-2017 14:33

Rapporter til Admin
#12 1. Det kunne være en god ide med WireShark, det ville jeg gøre hvis det opstår igen, men som det er nu, er der ikke noget trafik at måle. 2. Best practises osv, var ikke målet med denne tråd, jeg leder mere efter en forklaring på hvad der kan være sket :)
--

Opret svar til indlægget: Hjemmeserver "hacket" og opsat mailserver?

Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning