Come hanno fatto gli hacker a forzare il mio nome utente del server Windows?

0

Circa un anno fa il mio server Windows Server 2008 R2 è stato violato. Ho avuto RDP aperto al mondo, lo so, non è una buona idea. Essendo che era un anno fa non ho nessuno dei log, ma stavo pensando a qualcosa oggi.

Come hanno ottenuto il nome utente?

Non era l'account dell'amministratore, tuttavia, l'amministratore era attivo e in uso, che era l'unico modo in cui sapevo che erano lì. Inoltre, non c'era l'impostazione della politica delle password. Questo server non è per niente importante. Lo uso più come un parco giochi.

Per circa 12 ore un IP fuori dalla Polonia mi ha costretto a forzare il mio server. Guardando i log di audit post incidente ho notato circa 12k, forse più, tentativi di ottenere il nome utente e la password corretti.

Ho notato che iniziarono con quella che sembrava un'ipotesi plausibile di nomi utente, principalmente nomi comuni, quindi in qualche modo ottennero il nome utente corretto che iniziarono con la supposizione della password.

Ho visto questo accadere per due motivi:

  1. Per vedere se potevano entrare.
  2. Per vedere cosa stavano cercando.

Una volta entrati, ho usato VNC per guardare il desktop per vedere cosa stavano facendo. Stavano essenzialmente esaminando tutto, ma dal momento che l'utente aveva privilegi minimi, non potevano ottenere troppo.

Sì, ho dato l'accesso RDP dell'utente ma non molto altro.

Quando ho provato questo solo ora e ho inserito il nome utente corretto / password errata vs nome utente errato / password errata non ho visto nulla per indicare che il nome utente era giusto o sbagliato.

Come facevano a sapere di aver trovato il nome utente giusto? Quale software o programma potrebbero aver utilizzato?

    
posta Anthony Fornito 09.02.2017 - 21:59
fonte

1 risposta

1

Ci sono alcuni modi per enumerare i nomi utente di Windows, ma forse hanno solo bisogno di RDP.

Non hai bisogno del nome utente o della password per avviare una connessione rdp, e alcune versioni di windows ( non sono sicuro quali, cercandole ma 2008 r2 è una di queste) mostreranno i nomi degli utenti che possono connettersi e quali sono già collegati.

Questa "funzione" perderà direttamente il / i nome / i utente / i necessario / i

Forsehannousatoalcunistrumenticomequesto link (ce ne sono alcuni) per fare uno screenshot, o hanno semplicemente provato per accedere con un programma ui rdesktop e vedere qualcosa come lo screenshot

C'è anche un plugin nessus anche per questo, ma dubito che l'usato it ($$$), chi lo sa.

Ci sono alcuni modi per filtrare gli utenti di Windows, forse ne hanno usati altri.

    
risposta data 09.02.2017 - 23:49
fonte

Leggi altre domande sui tag