Vraag


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
Goedennacht mede-tweakers,

Ik heb net mn exchange server geinfecteerd gehad met zogeheten NM4 ransomware virus.
Dit is een server draaiende server 2008 r2 met exchange 2013 en niets anders.
Backup is helaas kapot (murphy's law).
Dus ben ik nu maar deze opnieuw aan het inrichten om morgen weer draaiende te zijn.

Echter wat mij echt dwars zit is hoe hemelsnaam deze virus op mn server terecht is gekomen.
Alle andere desktops en servers zijn niet geinfecteerd en mijn exchange mailbox database is alleen specific geencrypt.
Ik had een 2e user gevonden genaamd ASP.IISS welke ingelogd was ten tijde van ontdekking van de virus
(ik heb direct deze user uitgelogd en RDP porten dichtgezet).
Mijn windows event logboek is corrupt dus hier kan ik niets terugvinden.

Zou het kunnen zijn dat hier via RDP een ransomware is binnengekomen, of is er een exploit in exchange 2013 / windows server 2008 r2 dit mogelijk maakte ?

Ik voel me echt radeloos/machteloos om in de toekomst mijzelf te kunnen wapenen tegen dit.

Beste antwoord (via encryped op 04-07-2017 14:36)


  • nexhil
  • Registratie: November 2000
  • Laatst online: 07:05

nexhil

BAM!

encryped schreef op woensdag 28 juni 2017 @ 10:49:
[...]


Oke ik denk dat ik daar ooit overheen heb gelezen (heb maar gelijk poort 2883 dichtgegooid).

En ja RDP blijkt toch dus een stukje onwetendheid vanuit mijn kant geweest te zijn dat zulke poorten openzetten dus not done is. Ik denk dat ik hieruit maar mijn les moet trekken en dus virus waarschijnlijk zich via RDP heeft verspreid. Over inzet vind ik het jammer dat je er zo over praat, persoonlijk probeer ik mijzelf goed op de hoogte te houden over windows server. Echter had ik verwacht dat een windows RDP wellicht net zo veilig zou kunnen als SSH blijkbaar is dat dus niet het geval.
Laat hem maar gaan. Jammer dat je backup stuk is. Dit was een les, de volgende keer wordt hij niet meer gemaakt! Het zijn maar 10 gebruikers en waarschijnlijk staan alle mails/agenda punten ook nog op de werkstations die je nu nog gewoon kan exporten naar een PST file.

Als je later wilt RDP'en, regel een VPN verbinding (geen PPTP ;) :> )
We zijn allemaal een tweaker geworden door shit eerst kapot te maken of niet goed te beheren, jammer alleen dat dat nu in een live bedrijfssituatie gebeurd, maar dat is ook de keuze van het bedrijf ;)

Alle reacties


Acties:
  • +1 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

encryped schreef op woensdag 28 juni 2017 @ 00:46:
...Dus ben ik nu maar deze opnieuw aan het inrichten om morgen weer draaiende te zijn...
En om overmorgen weer geïnfecteerd te zijn?

Ja, een lullige opmerking, ik weet 't. Maar je vraagstelling en de terminologie die je gebruikt doen vermoeden dat je van het beheren van een Exchange server, geen kaas gegeten hebt.
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen. Doe jezelf en je eindgebruikers een plezier en migreer het hele zooitje zo snel mogelijk naar Office365 (of een andere exchange hosting).

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
Bedankt om even de harde waarheid te vertellen.
Alleen is de cloud helaas niet echt een optie.

En ja ik ga niet ontkennen dat ik een M$ gecertitificeerde systeembeheerder bent (iets wat ik trouwens ook nooit zou willen worden).
Gelukkig praten we hier over een mailserver van ca. 10 users en is het voor mij als tweaker beheersbaar om dit onderhoud te kunnen doen. (Ik vind t ook wel een leuk en leerzaam traject)

Echter naast het systeem up to date houden en natuurlijk ook de backups werkend houden.
Is mij de vraag, wat valt er tegenwoordig te doen tegen zulke ransomware ?
Weet iemand bijvoorbeeld wat voor mechanisme NM4 gebruikt om binnen te komen.
Iets wat ik zelf helaas niet op het web heb kunnen vinden

Acties:
  • +1 Henk 'm!

  • crazyme2
  • Registratie: Maart 2010
  • Laatst online: 29-06 10:03
Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
[...]

En om overmorgen weer geïnfecteerd te zijn?
Volgens mij is het doel van zijn vraag om dit te voorkomen.

Heb je misschien ook een idee hoe die infectie kan zijn ontstaan ?

Om op elke Exchange bak fulltime een gediplomeerd ITer te zetten is niet echt praktisch.
(En daarmee trap je elke discussie direct dood)

[ Voor 5% gewijzigd door crazyme2 op 28-06-2017 06:40 ]


Acties:
  • +1 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 16-06 13:21

MAX3400

XBL: OctagonQontrol

encryped schreef op woensdag 28 juni 2017 @ 02:08:

Weet iemand bijvoorbeeld wat voor mechanisme NM4 gebruikt om binnen te komen.
Iets wat ik zelf helaas niet op het web heb kunnen vinden
uhuh.... Eerste zoekopdracht via Google:
PC security researchers received reports of a NM4 Ransomware attack, a variant of the R Ransomware and the NMoreira Ransomware, both ransomware Trojans that carry out a fairly typical variant of this hoax. The NM4 Ransomware is being distributed through the use of spam email attachments. Ransomware campaigns like the NM4 Ransomware and associated threats created by the same hacking group that developed the NM4 Ransomware are being delivered to victims by exploiting exposed Remote Desktop Protocol connections on the Internet directly. This method of delivery may be used to compromise computers belonging to small and medium businesses, as well as Web servers and corporate networks.
Gok, de Exchange-server van je heeft geen mooie oplossing zoals een firewall en DMZ maar hangt waarschijnlijk direct aan het internet?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • +3 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen.
Onzin. Dat zou je haast gaan geloven als je luistert naar partijen die er financieel belang bij hebben om jou dat te laten geloven maar de praktijk is anders. Exchange is retestabiel, veilig en vraagt zelfs in zeer grote omgevingen geen dagelijks beheer. Het is gewoon een applicatie op een server, daarmee niets anders dan SQL of Apache.
encryped schreef op woensdag 28 juni 2017 @ 00:46:
Zou het kunnen zijn dat hier via RDP een ransomware is binnengekomen, of is er een exploit in exchange 2013 / windows server 2008 r2 dit mogelijk maakte ?
De vraag is of je het OS en de applicatie volledig gepatched had.
MAX3400 schreef op woensdag 28 juni 2017 @ 07:05:
[...]
Gok, de Exchange-server van je heeft geen mooie oplossing zoals een firewall en DMZ maar hangt waarschijnlijk direct aan het internet?
Exchange in een DMZ wordt niet ondersteund. Heeft sowieso weinig zin om een domain member server in de DMZ te zetten omdat je een hele zooi poorten open moet zetten richting je interne netwerk. Op welke manier zou dit deze besmetting hebben kunnen voorkomen?

[ Voor 42% gewijzigd door Jazzy op 28-06-2017 07:12 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 16-06 13:21

MAX3400

XBL: OctagonQontrol

Jazzy schreef op woensdag 28 juni 2017 @ 07:09:

Exchange in een DMZ wordt niet ondersteund. Heeft sowieso weinig zin om een domain member server in de DMZ te zetten omdat je een hele zooi poorten open moet zetten richting je interne netwerk. Op welke manier zou dit deze besmetting hebben kunnen voorkomen?
Volgens mij lezen we hetzelfde alleen verkeerd. Mijn vraag was of voor de Exchange-server een "zone" is waar een firewall hangt en eventueel of er zaken via een DMZ worden geregeld. Het was niet mijn vraag of de machine in de DMZ hangt. Dan nog; er zijn zat mensen die hun DMZ/beveiliging inrichten door een machine met 2 NIC's neer te zetten; eentje ingeprikt direct op de router en de ander direct op het private network. :+

Beetje hetzelfde als poortjes zoals 22 en 3389 direct openzetten naar de buitenwereld; ook zo'n recipe for disaster om zeker te weten dat er dagelijks extra verkeer bij je binnenkomt.

Anyhow, grote kans dat alles op 1 machine draait bij de topicstarter dus de discussie of/welk component van Exchange wel/niet correct geplaatst is, lijkt me mogelijk overbodig ;)

[ Voor 8% gewijzigd door MAX3400 op 28-06-2017 07:20 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • 0 Henk 'm!

  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 12:17

Qwerty-273

Meukposter

***** ***

Jazzy schreef op woensdag 28 juni 2017 @ 07:09:
Exchange in een DMZ wordt niet ondersteund.
En de Edge dan? :+

Maar inderdaad na het lezen van @MAX3400's omschrijving lijkt het gewoon een bak waar direct rdp mogelijk is vanaf buiten (wel zo makkelijk toch?) ;) Het is dan ook geen Exchange lek, maar een os-lek en dan eigenlijk meer van hoe de omgeving (als je daar van kan spreken) is ingericht.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.


Acties:
  • 0 Henk 'm!

  • CivLord
  • Registratie: Maart 2011
  • Laatst online: 02-06 09:42
encryped schreef op woensdag 28 juni 2017 @ 02:08:
En ja ik ga niet ontkennen dat ik een M$ gecertitificeerde systeembeheerder bent (iets wat ik trouwens ook nooit zou willen worden).
Met die instelling is het misschien beter om een andere oplossing te vinden, waar je bias tegen Microsoft je minder in de weg zit om je systeem veilig te houden.

Acties:
  • 0 Henk 'm!

  • PetervdM
  • Registratie: Augustus 2007
  • Niet online
encryped schreef op woensdag 28 juni 2017 @ 02:08:
Alleen is de cloud helaas niet echt een optie.
.....

(Ik vind t ook wel een leuk en leerzaam traject)
waarom is de cloud geen optie? voor 10 mailboxen kan de netwerk belasting nooit zo groot zijn, en de kosten ook niet.
"leuk" hoort meer in de hobbysfeer op je zolderkamer. moet de organisatie van wie die mailboxen zijn daar de dupe van worden? die is gebaat bij betrouwbaarheid, beschikbaarheid en tijdigheid. deze lijken me geen van alle op orde. wanneer heb je voor het laatst je restore getest?

Acties:
  • +5 Henk 'm!

  • P1nGu1n
  • Registratie: Juni 2011
  • Laatst online: 13:38
;(

Zo 2005.

[ Voor 4% gewijzigd door P1nGu1n op 28-06-2017 08:39 ]

Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live.


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
MAX3400 schreef op woensdag 28 juni 2017 @ 07:05:
[...]

uhuh.... Eerste zoekopdracht via Google:

[...]
Zover was ik ook nog gekomen dat het NM4 via mail verspreid is. Echter zou dan een gebruiker dus wellicht z'n virus geopend kunnen hebben. Maar in principe zou dan de verspreiding via de fileserver gegaan kunnen zijn, echter na controle blijkt deze schoon te zijn net zoals de desktops. Dus mijn voorbarige conclusie is dat alleen mijn emailserver geinfecteerd is geweest.
Gok, de Exchange-server van je heeft geen mooie oplossing zoals een firewall en DMZ maar hangt waarschijnlijk direct aan het internet?
De mailserver hangt achter een NAT waar de poorten 25 (SMTP), 443 (HTTPS voor OWA), 2883 (activesync) en 3389 (RDP) open waren gezet. De RDP poort was ook nog naar een andere public gemapped (ja poortscans kunnen deze natuurlijk nog vinden)
Jazzy schreef op woensdag 28 juni 2017 @ 07:09:

[...]
De vraag is of je het OS en de applicatie volledig gepatched had.
Voor de reinstall had ik nog even dubbel gechecked en ja exchange en windows waren volledig up to date.
Ja sorry ik denk dat t even mijn frustratie was die ik uitte

[ Voor 11% gewijzigd door encryped op 28-06-2017 08:57 ]


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

alias gemaakt in B&V naar dit topic.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

encryped schreef op woensdag 28 juni 2017 @ 08:47:
[...]


Zover was ik ook nog gekomen dat het NM4 via mail verspreid is. Echter zou dan een gebruiker dus wellicht z'n virus geopend kunnen hebben. Maar in principe zou dan de verspreiding via de fileserver gegaan kunnen zijn, echter na controle blijkt deze schoon te zijn net zoals de desktops. Dus mijn voorbarige conclusie is dat alleen mijn emailserver geinfecteerd is geweest.
Als een gebruiker malware opent dan wordt deze uitgevoerd op de machine waar de gebruiker op werkt. Zelfs als deze via email verzonden is, is het niet logisch dat de Exchange-server geïnfecteerd is. Wat wel kan is dat de malware uitgevoerd is op een systeem dat niet vulnerable was maar zich via het netwerk kan verspreiden naar servers die wel kwetsbaar zijn.
De mailserver hangt achter een NAT waar de poorten 25 (SMTP), 443 (HTTPS voor OWA), 2883 (activesync) en 3389 (RDP) open waren gezet. De RDP poort was ook nog naar een andere public gemapped (ja poortscans kunnen deze natuurlijk nog vinden)
Poort 2883 is niet nodig voor ActiveSync, deze draait standaard gewoon op poort 443.
Voor de reinstall had ik nog even dubbel gechecked en ja exchange en windows waren volledig up to date.
Dan moeten we toch terug naar de originele vraag, van welke kwetsbaarheid de mailware gebruik maakt om zich uit te kunnen voeren. Ik heb dat in de reacties in dit topic nog niet teruggelezen. Heb even rondgezocht maar kan het zelf ook niet direct vinden.
Qwerty-273 schreef op woensdag 28 juni 2017 @ 07:44:
[...]
Het is dan ook geen Exchange lek, maar een os-lek en dan eigenlijk meer van hoe de omgeving (als je daar van kan spreken) is ingericht.
Wat bedoel je hiermee, kun je eens precies uitleggen hoe dit systeem besmet geraakt is en waar dat door komt?

[ Voor 10% gewijzigd door Jazzy op 28-06-2017 10:15 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Oogje
  • Registratie: Oktober 2003
  • Niet online
Jazzy schreef op woensdag 28 juni 2017 @ 07:09:
[...]

Onzin. Dat zou je haast gaan geloven als je luistert naar partijen die er financieel belang bij hebben om jou dat te laten geloven maar de praktijk is anders. Exchange is retestabiel, veilig en vraagt zelfs in zeer grote omgevingen geen dagelijks beheer. Het is gewoon een applicatie op een server, daarmee niets anders dan SQL of Apache.
Als je weet wat je doet en configureert wel ja.

-------
Wat betreft dit probleem, kun je in de eventviewer terugvinden welke accounts zijn ingelogt op de exchange machine? Of heb je die niet veiliggesteld?

Gebruiker met een zwak wachtwoord en je bent t bokje.

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
Jazzy schreef op woensdag 28 juni 2017 @ 10:14:
[...]
Als een gebruiker malware opent dan wordt deze uitgevoerd op de machine waar de gebruiker op werkt. Zelfs als deze via email verzonden is, is het niet logisch dat de Exchange-server geïnfecteerd is. Wat wel kan is dat de malware uitgevoerd is op een systeem dat niet vulnerable was maar zich via het netwerk kan verspreiden naar servers die wel kwetsbaar zijn.
Klopt ja, maar vooralsnog kan ik nergens sporen vinden van infectie op de desktops en de andere server. Ik heb het gevoel dat deze deze server specifiek via een open poort gehacked is geweest. Er is namelijk ook een gebruiker ASP.IISS (ja dat IISS is een typo van IIS dus een fake account) aangetroffen waarop er lijkt dat er een specifieke user aangemaakt is welke de encryptie software draaide.
[...]
Poort 2883 is niet nodig voor ActiveSync, deze draait standaard gewoon op poort 443.
https://technet.microsoft...bb124075(v=exchg.65).aspx
Exchange ActiveSync (IIS Admin Service) UDP 2883 on the front-end serve
[...]
Dan moeten we toch terug naar de originele vraag, van welke kwetsbaarheid de mailware gebruik maakt om zich uit te kunnen voeren. Ik heb dat in de reacties in dit topic nog niet teruggelezen. Heb even rondgezocht maar kan het zelf ook niet direct vinden.
Ja dat is voornamelijk de vraag die ik mijzelf stelt welke vormen/mogelijkheden van versprijding naast ge-infecteerde emails gebruikt deze zogeheten NM4 virus om zich te verspreiden. Zoals bijv. wannycry een smb exploit gebruikte en nu Petya waarschijnlijk via MeDoc is verspreid.
Oogje schreef op woensdag 28 juni 2017 @ 10:16:
[...]

Als je weet wat je doet en configureert wel ja.

-------
Wat betreft dit probleem, kun je in de eventviewer terugvinden welke accounts zijn ingelogt op de exchange machine? Of heb je die niet veiliggesteld?

Gebruiker met een zwak wachtwoord en je bent t bokje.
Zoals aangeven in topic start heeft de virus ook de event viewer gecleared/corrupteerd.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

encryped schreef op woensdag 28 juni 2017 @ 10:26:
https://technet.microsoft...bb124075(v=exchg.65).aspx
Exchange ActiveSync (IIS Admin Service) UDP 2883 on the front-end serve
Dat is een artikel uit 2006 en gaat niet over Exchange 2013. Geloof me, Exchange is toevallig het enige waar ik echt verstand van heb. :)

Wat die ASP.ISS gebruiker betreft, dat is inderdaad een goed punt om verder uit te zoeken. Ik vond alleen dit lijstje met bekend gemaakte RDP-accounts: https://bitbin.it/6A2eNLb0/ Kan dus zijn dat dit legitieme accounts zijn maar ook heel goed dat malware deze accounts heeft aangemaakt. Ik heb nog even verder gezocht en het lijkt er inderdaad op dat NMoreira zich verspreid via RDP. Daar zou dan toch een vulnerability moeten zitten.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • anboni
  • Registratie: Maart 2004
  • Laatst online: 14:20
encryped schreef op woensdag 28 juni 2017 @ 10:26:
https://technet.microsoft...bb124075(v=exchg.65).aspx
Exchange ActiveSync (IIS Admin Service) UDP 2883 on the front-end serve
Je realiseert je dat dat artikel gaat over Exchange 2003? En dat er dus gegarandeerd dingen gewijzigd zijn in de tussentijd? Daarbij, poort 3389 voor de buitenwereld openzetten is gewoon absoluut not-done. Alsjeblieft, draag de verantwoordelijkheid voor die omgeving gewoon over aan iemand die zich er wel echt voor wil inzetten.

Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
anboni schreef op woensdag 28 juni 2017 @ 10:36:
[...]


Je realiseert je dat dat artikel gaat over Exchange 2003? En dat er dus gegarandeerd dingen gewijzigd zijn in de tussentijd? Daarbij, poort 3389 voor de buitenwereld openzetten is gewoon absoluut not-done. Alsjeblieft, draag de verantwoordelijkheid voor die omgeving gewoon over aan iemand die zich er wel echt voor wil inzetten.
Oke ik denk dat ik daar ooit overheen heb gelezen (heb maar gelijk poort 2883 dichtgegooid).

En ja RDP blijkt toch dus een stukje onwetendheid vanuit mijn kant geweest te zijn dat zulke poorten openzetten dus not done is. Ik denk dat ik hieruit maar mijn les moet trekken en het virus waarschijnlijk zich via RDP heeft verspreid. Over inzet vind ik het jammer dat je er zo over praat, persoonlijk probeer ik mijzelf goed op de hoogte te houden over windows server. Echter had ik verwacht dat windows RDP wellicht net zo veilig zou kunnen als SSH blijkbaar is dat dus niet het geval.

Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • nexhil
  • Registratie: November 2000
  • Laatst online: 07:05

nexhil

BAM!

encryped schreef op woensdag 28 juni 2017 @ 10:49:
[...]


Oke ik denk dat ik daar ooit overheen heb gelezen (heb maar gelijk poort 2883 dichtgegooid).

En ja RDP blijkt toch dus een stukje onwetendheid vanuit mijn kant geweest te zijn dat zulke poorten openzetten dus not done is. Ik denk dat ik hieruit maar mijn les moet trekken en dus virus waarschijnlijk zich via RDP heeft verspreid. Over inzet vind ik het jammer dat je er zo over praat, persoonlijk probeer ik mijzelf goed op de hoogte te houden over windows server. Echter had ik verwacht dat een windows RDP wellicht net zo veilig zou kunnen als SSH blijkbaar is dat dus niet het geval.
Laat hem maar gaan. Jammer dat je backup stuk is. Dit was een les, de volgende keer wordt hij niet meer gemaakt! Het zijn maar 10 gebruikers en waarschijnlijk staan alle mails/agenda punten ook nog op de werkstations die je nu nog gewoon kan exporten naar een PST file.

Als je later wilt RDP'en, regel een VPN verbinding (geen PPTP ;) :> )
We zijn allemaal een tweaker geworden door shit eerst kapot te maken of niet goed te beheren, jammer alleen dat dat nu in een live bedrijfssituatie gebeurd, maar dat is ook de keuze van het bedrijf ;)

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

encryped schreef op woensdag 28 juni 2017 @ 10:49:
[...]
Echter had ik verwacht dat windows RDP wellicht net zo veilig zou kunnen als SSH blijkbaar is dat dus niet het geval.
Wat bedoel je precies met net zo veilig als SSH? https://www.google.co.in/...&sourceid=chrome&ie=UTF-8

Er is geen software die geen vulnerabilities kent, was het maar zo simpel. In algemene zin helpt het natuurlijk wel om moderne software te gebruiken, met een oud OS zoals Windows Server 2008 R2 loop je natuurlijk een grotere kans op ellende dan met Server 2016 of zelfs 2012 R2. Maar het blijft zaak om te updaten, malware scanners gebruiken en zo min mogelijk ontsluiten naar het internet.

Voor remote beheer is een VPN een goed hulpmiddel, vaak kan dat direct naar je router of desnoods een Raspberry Pi.

[ Voor 38% gewijzigd door Jazzy op 28-06-2017 11:57 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
Met die redenatie is denk ik alles onveilig. https://www.google.nl/search?q=vpn+vulnerability

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

Goed punt! Wat ik vooral wil zeggen, met alleen de keuze voor een ander software pakket (ssh ipv. RDP) ben je er niet. Het gaat om het totale plaatje.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • encryped
  • Registratie: Juli 2008
  • Laatst online: 03-07 22:41
Ben ik helemaal mee eens er zijn verschillende factoren. Backup was daar ook één van waar dus nog beter opgelet moet worden. Ik ga nu zeker VPN gebruiken en probeer nog extra alert te zijn op wat er open staat naar de buitenwereld.

Acties:
  • 0 Henk 'm!

  • hackerhater
  • Registratie: April 2006
  • Laatst online: 11:45
Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.
Staat daar een protectie op dat ie automatisch bant na zoveel pogingen?

Mijn eigen server wordt dagelijks! aangevallen op ssh.
Maar sowieso nooit RDP exposen naar het internet.
Hang een VPN-box in het netwerk als je er van buitenaf aan moet kunnen.

[ Voor 23% gewijzigd door hackerhater op 28-06-2017 12:12 ]


Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

crazyme2 schreef op woensdag 28 juni 2017 @ 06:38:
[...]
Om op elke Exchange bak fulltime een gediplomeerd ITer te zetten is niet echt praktisch.
(En daarmee trap je elke discussie direct dood)
Kom op: we hebben het hier over 10 mailboxen. Zo'n hosted Exchange kost iets van 5 tot 10 €uro per maand per mailbox. Wat kun jij doen voor 100 €uro per maand? Het mannetje dat dagelijks de backup-tapes vervangt is al duurder

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Je weet dat er meer redenen kunnen zijn om geen 365 te willen?

• De data staat in Ierland. Dat heeft gevolgen voor de snelheid van Outlook, al helemaal met grote mailboxen.
• Sync issues. Vooral leuk met (gedeelde) agenda's.
• Geen vertrouwen hebben in de veiligheid van je data in 365 (of dit nou terecht is of niet..)
• Als je al een eigen server en alle licenties al hebt en personeel in dienst hebt die dit kan onderhouden dan is het duurder.. het enige is dat je niet constant op de nieuwste versies draait maar maximaal gebruik moet maken van de tijd dat het ondersteund wordt.
• Microsoft garandeert niet dat ze je mailbox uit een back-up kunnen restoren bij problemen. Dus, dan heb je een cloud dienst waarvan je alsnog zelf backups moet gaan zitten trekken :+
• Password sync vind ik ook altijd een dingetje.. bij kleine organisaties zie je vaak dat ze de password sync tussen AD en 365 niet inrichten. Dat is een stap terug in de tijd :p
• Open voor discussie (maar niet hier) maar ik zie meer issues met 365 dan met lokale Exchange installaties. Ken eigenlijk weinig mensen die écht tevreden zijn met hun 365 box. Het is goedkoop..dat wel.

Maar eigenlijk is al het geratel over 365 gewoon offtopic ;)
hackerhater schreef op woensdag 28 juni 2017 @ 12:08:
Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.
Staat daar een protectie op dat ie automatisch bant na zoveel pogingen?

Mijn eigen server wordt dagelijks! aangevallen op ssh.
Maar sowieso nooit RDP exposen naar het internet.
Hang een VPN-box in het netwerk als je er van buitenaf aan moet kunnen.
Ergens is het wel grappig dat je enerzijds het advies geeft om RDP nooit open te zetten, maar wel blijk geeft van het feit dat je zelf gewoon SSH open hebt staan.. terwijl dat laatste protocol ook genoeg (serieuze) CVE's gekend heeft :+

SSH zonder lock-out policy (of sterke wachtwoorden) is ook gewoon vragen om problemen. Dat is met RDP niet anders :).

[ Voor 24% gewijzigd door Glashelder op 28-06-2017 15:18 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc


Acties:
  • 0 Henk 'm!

  • hackerhater
  • Registratie: April 2006
  • Laatst online: 11:45
Glashelder schreef op woensdag 28 juni 2017 @ 15:16:
Ergens is het wel grappig dat je enerzijds het advies geeft om RDP nooit open te zetten, maar wel blijk geeft van het feit dat je zelf gewoon SSH open hebt staan.. terwijl dat laatste protocol ook genoeg (serieuze) CVE's gekend heeft :+

SSH zonder lock-out policy (of sterke wachtwoorden) is ook gewoon vragen om problemen. Dat is met RDP niet anders :).
Remote webservers, geen intern netwerk ;)
Maar SSH is gehardened. Wachtwoord login wordt niet toegestaan (public key only) en fail2ban loopt mee.
En uiteraard alles netjes up to date 8)

[ Voor 3% gewijzigd door hackerhater op 28-06-2017 15:23 ]


Acties:
  • 0 Henk 'm!

  • Oogje
  • Registratie: Oktober 2003
  • Niet online
hackerhater schreef op woensdag 28 juni 2017 @ 12:08:
Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.
Dat is mijn gok ook, zo heeft een ex-collega ooit op een Terminal Server van een nieuwe klant (RDP rechtstreeks van buiten benaderbaar) een compleet Russisch casino uit de lucht gehaald.
Die waren ook via brute-force binnengekomen.

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • 0 Henk 'm!

  • hackerhater
  • Registratie: April 2006
  • Laatst online: 11:45
@Anoniem: 37297
Grote kans dat ze dit hebben gedaan als je verder niks kan vinden : https://en.wikipedia.org/wiki/Brute-force_attack

Acties:
  • 0 Henk 'm!

  • Frost_Azimov
  • Registratie: Juni 2004
  • Laatst online: 19-06 23:54
Voor als de rust is wedergekeerd; kijk eens of je een oplossing als scrollout (of als je de centen & tijd hebt ironport) tussen je Exchange server en je internet kunt zetten. Zelf gebruik ik naast scrollout op een VM ook nog een batch-smtp service op het internet waar mijn mx records naar toe wijzen, elke klein bedrijf kan dit betalen, en het geeft wat meer rust aan de beheerder (want als je mail down is, vangt de externe service het een poos voor je op, en cleant ook vaak nog wat van de grootste shit).

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

Op welke manier had dit deze infectie via RDP voorkomen? :)

Edit: ik zit hier nog even verder over te lezen, en vond o.a. deze site die het mechanisme beschrijft waar NMoreira op gebaseerd zou zijn. Om via RDP in te breken wordt brute force gebruikt maar ook deze vulnerabilities:
https://technet.microsoft...ry/security/ms15-067.aspx
https://technet.microsoft.com/library/security/MS15-030

[ Voor 78% gewijzigd door Jazzy op 28-06-2017 17:15 ]

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 11:30

sh4d0wman

Attack | Exploit | Pwn

@ Jazzy: waarschijnlijk niet de vulnerability in de eerste link want die veroorzaakt alleen een Denial of Service conditie. Indien alles gepatched was gok ik op een RDP account met zwak wachtwoord en/of geen account lockout.

Zorg er voor dat je Exchange achter een goed geconfigureerde firewall hangt anders zijn de verschillende Windows exploits van shadowbrokers ook een manier om binnen te komen.
https://www.theregister.c...shadow_brokers_data_dump/

Verder is het mogelijk om via de virus-scanner een mail-server te infecteren mocht je alles dicht hebben zitten en toch een infectie vinden. Dit heb ik echter nog niet actief gebruikt zien worden.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • +2 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 03-07 06:16
Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
[...]

En om overmorgen weer geïnfecteerd te zijn?

Ja, een lullige opmerking, ik weet 't. Maar je vraagstelling en de terminologie die je gebruikt doen vermoeden dat je van het beheren van een Exchange server, geen kaas gegeten hebt.
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen. Doe jezelf en je eindgebruikers een plezier en migreer het hele zooitje zo snel mogelijk naar Office365 (of een andere exchange hosting).
Dit is wel heel erg generaliserend, Exchange in een MKB situatie is makkelijk te beheren met minimale beheersdruk na de inrichting (up-to-date houden, certificaten op to date houden, zo nu en dan een mailboxje aanmaken / verwijderen en dat is het in de regel binnen het MKB wel). Praat je over multinationals met Exchange servers geclusterd over de hele wereld en gebruikmakend van alle geavanceerde functionaliteit die je krijgt met exchange enterprise cals en bijv. geïntegreerd met zaken als Skype for business, ja, dan praat je inderdaad over een fulltime job (waarschijnlijk meerdere).

Kijk bijv, naar een redelijk gemiddelde MKB situatie met 50 users, het goedkoopste Ofice 365 platform kost je 12.600 euro over 5 jaar, licentie technisch heb je Exchange 2016 x2 (voor een DAG) + 50 Cals voor 5800 euro over dezelfde 5 jaar, als je eigen beheerders hebt en een je niet specifiek voor Exchange ijzer moet aanschaffen kun je heel wat uurtjes enkel in Exchange stoppen voordat Office 365 goedkoper wordt. Zelfs als je het dagelijkse beheer uitbesteed zijn dat nog aardig wat uren (bij veel van mijn klanten in dit segment besteed ik echt geen 100+ uur puur aan exchange qua tijd over een periode van 5 jaar).

Neem daarnaast ook nog eens de issues die nog steeds spelen met Office 365, gemiddeld genomen zien wij bijv. meer downtime / performance issues met Office 365 bij klanten die op Office 365 zitten met hun E-mail dan bij klanten die Office 365 on-premise hebben draaien en lang niet in alle gevallen is Office 365 interessant op dit moment. Dit kan uiteraard in de toekomst gaan veranderen als MS office 365 nog verder verbeterd (vooral in situaties waar bijv. cached mode geen optie is, dit is nog steeds echt een drama of in situaties waar enkel "trage" verbindingen beschikbaar zijn). Er zijn bij ons bijv. al een aantal klanten weer over gestapt van Office 365 terug naar On-premise omdat het gewoonweg niet werkbaar was, die hebben flink wat geld weggegooid door tegen ons advies in te migreren naar Office 365, maar toch doorgedrukt omdat ze dachten dat het zoveel goedkoper en beter zou zijn.

Begrijp me verder niet verkeerd, Office 365 is in bepaalde scenario's veruit de geprefereerde optie maar om kort door de bocht te stellen dat iedereen maar moet overstappen naar Office 365 of andere hosting is zeker niet logisch.

[ Voor 5% gewijzigd door Dennism op 29-06-2017 12:17 ]


Acties:
  • +1 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

Dennism schreef op donderdag 29 juni 2017 @ 12:14:
[...]
Praat je over multinationals met Exchange servers geclusterd over de hele wereld en gebruikmakend van alle geavanceerde functionaliteit die je krijgt met exchange enterprise cals en bijv. geïntegreerd met zaken als Skype for business, ja, dan praat je inderdaad over een fulltime job (waarschijnlijk meerdere).
Eén van mijn klanten valt in die categorie (80k mailboxen, 50+ servers) en veel meer dan dagelijks beheer is het echt niet. SCOM meldt wel eens wat maar meestal zijn dat nog false postives ook. Ironisch genoeg hebben we veel meer incidenten en verstoringen sinds de migratie naar Exchange Online.

Je berekening is trouwens spot-on. En dan heb je het nog niet eens over de controle die je uit handen geeft waardoor je bijna wekelijks geconfronteerd wordt met nieuwe of aangepaste features, met alle overlast van dien.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Jazzy schreef op donderdag 29 juni 2017 @ 12:36:
[...]
Eén van mijn klanten valt in die categorie (80k mailboxen, 50+ servers) ...
Je hebt het niet toevallig over Maersk? ;o)

Anyway, we hebben de TS nu aan twee tips geholpen: port 2883 dichtzetten en de erg algemene aanwijzing om "iets" aan z'n backup te doen. Ik heb niet het idee dat dit afdoende is in zijn situatie, dus ik blijf bij m'n standpunt dat een migratie naar O365 zijn directe omgeving happier maakt.

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 03-07 06:16
Brahiewahiewa schreef op donderdag 29 juni 2017 @ 13:22:
[...]

Je hebt het niet toevallig over Maersk? ;o)

Anyway, we hebben de TS nu aan twee tips geholpen: port 2883 dichtzetten en de erg algemene aanwijzing om "iets" aan z'n backup te doen. Ik heb niet het idee dat dit afdoende is in zijn situatie, dus ik blijf bij m'n standpunt dat een migratie naar O365 zijn directe omgeving happier maakt.
In een geval als deze met 10 users, een mogelijk onervaren beheerder, er geen bezwaar tegen is het uit handen geven van de controle / data aan een 3de partij en er performance technisch geen te verwachten issues zijn (bijv alleen traag ADSL beschikbaar, heb al situaties gezien waarbij Office 365 performance over een 8/2 lijn met 5 man al niet te harden was, of situaties waarbij cached mode niet mogelijk c.q. wenselijk zijn ben ik het in deze niet met je oneens. O.a. het niet hebben van een correcte backup is natuurlijk al een groot issue in zijn omgeving, maar ook het direct mappen van bepaalde poorten naar het internet is natuurlijk niet handig.

[ Voor 5% gewijzigd door Dennism op 29-06-2017 15:43 ]


Acties:
  • 0 Henk 'm!

  • McWolf82
  • Registratie: December 2004
  • Laatst online: 02-12-2022
Ik heb al bij een aantal klanten gezien dat ze gewoon via een rechtstreekse RDP zijn binnengekomen op servers.
Windows Security logboek stond ook helemaal vol met inlogpogingen met vreemde gebruikersnamen, zoals admin, administrator, administrador, administrateur, ze proberen van alles.

Ze stonden eigenlijk al voor de deur, ze moesten alleen nog (brute force) het wachtwoord zien te achterhalen.
Vervolgens was alles besmet, van Windows systeembestanden tot heel veel bedrijfsdata.

Rechtstreekse RDP moet je gewoon dichtzetten, ook niet op een andere poort zoals 3390 of bijv. 6000, ze doen gewoon een port scan en ze maken verbinding.

Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Suggereer je nu dat al die besmettingen van de laatste tijd zijn ontstaan door zwakke wachtwoorden?
Welkom2017 |:(

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 14:25

Jazzy

Moderator SSC/PB

Moooooh!

Brahiewahiewa schreef op donderdag 29 juni 2017 @ 13:22:
[...]

Je hebt het niet toevallig over Maersk? ;o)
Nee. :)

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1