WHS2011 server waarschijnlijk gehackt, waar op te letten?

Mijn vraag
Begin van de week kon ik ineens niet meer via rdp op mijn server inloggen. Deze uiteraard zo spoedig mogelijk uitgeschakeld en zonder netwerk eens bekeken. Nog steeds lukte inloggen me niet, maar middels een Linux usb stick heb ik het wachtwoord kunnen verwijderen.
Na inloggen kwam ik een .rar tegen (genaamd: @cyber_soldier vps crack), een map met dezelfde naam en bij "software verwijderen" een programma winpcap 4.1.3. Die laatste kan ik zelf wel geïnstalleerd hebben.

Relevante software en hardware die ik gebruik
WHS 2011 (Windows server 2008 gebaseerd), RDP vanaf mijn eigen pc en Teamviewer om zo nu en dan op mijn eigen pc in te loggen.
Daarnaast een Linksys WRT320N met de laatste versie DD-WRT voor die router. Deze is nog niet zo lang geleden geïnstalleerd.

Wat ik al gevonden of geprobeerd heb
In de map (en ook in de rar) zitten dezelfde mappen en bestanden:
- KPort scan
KPortScan3.exe
QtCore4.dll
QtGui4.dll
QtNetwork4.dll
results.txt (met een heleboel IP-adressen (niet die van mij voor zover) en is meer dan 3MB groot.
- NL Brute
credentials.txt
good.txt
ip.txt
MyPasslist Full Priv8a.txt
NL Brute 1.2.exe
pass.txt
servers.txt
settings.ini
user.txt

Mijn wachtwoord en variaties staat in één van die bestanden.
Het lijkt er dus op dat er daadwerkelijk iemand in mijn server is geweest en nee, mijn wachtwoord was dan weer niet heel erg moeilijk (ben ook al bezig om Enpass te gaan gebruiken om dit soort dingen te voorkomen, maar uiteindelijk is het dan altijd nog te laat.

Ik heb nu geen idee hoe verder eigenlijk. Ook om te kijken of er iets gedaan is op mijn server. Enige dat ik kan zien is wanneer de bestanden geplaatst zijn, maar dat zegt denk ik niet zoveel. (21 maart)

Er zijn denk ik teveel opties geweest voor iemand om binnen te komen. Heb de poort voor rdp (nooit bij stil gestaan dat ik die open heb gezet) en de http poort voor de website van WHS 2011 gesloten op de router.
Zou het kunnen dat het via Teamviewer is gebeurd? Of toch gewoon via rdp, alhoewel je daar al een wachtwoord voor nodig hebt en wellicht wat moeilijker is om te vinden.

Als ik zoek op de naam van de folder, dan kom ik op dit profiel uit, maar daar staat verder niets:
https://hackerone.com/cyb...dier&page=1&range=forever
En nog een twitter account.

Zou ik uit DD-wrt nog iets kunnen halen om te zien wat voor verbinding er is gemaakt?

Belangrijkste is, hoe kan ik het beste de server scannen, of is het beter om gewoon schoon te beginnen en meteen goed aan te pakken (hij staat op de planning voor een upgrade en ander OS).

@FreshMaker Daar was ik al bang voor. De upgrade zou meteen een upgrade van de gehele server inhouden, dus inclusief hardware. Twijfel alleen nog, maar dat is een andere/nieuw topic, welke software uiteindelijk.

Nieuw schema komt neer op enpass en wachtwoorden per site laten genereren. Maar de angst is dan dat ik iig een hoofd wachtwoord moet regelen die ook nog lang genoeg is en overal bij mijn wachtwoorden moet kunnen.

Teamviewer gebruik ik wel dat wachtwoord, maar niet een account. Dus via die 9 cijfers en dan dat wachtwoord.
Die site die je aangeeft heb ik na die 21 maart nog bekeken, daar kwam eigenlijk niets voor behalve wat ik al wist. Ook aangezet dat ik een bericht krijg wanneer er een nieuwe melding bij is gekomen en dat voor al mijn email accounts.

@234FaTaLiTy rdp gebruikte ik eigenlijk alleen lokaal. Dus via de router open zetten had ik nooit moeten doen, maar dat was toen. Toen had ik daar nog geen idee van verder. Maar ja, dat vergeet je dan en denk je niet meer over na.

Het enige wat ik eigenlijk vrij regelmatig gebruikte was de website van WHS 2011 waarmee je bij je bestanden kunt om te downloaden en om te uploaden.


Kan ik mijn server nog het beste met tools scannen zodat iig mijn bestanden niet iets mee gebeurd is. Zo te zien ging het daar niet om, maar je weet maar nooit.

Zie ook dat op die datum google Chrome geinstalleerd is. Verder lijkt het erop dat er niets aan staat. Schoon installeren ga ik zeker wel doen.
Winrar ook, maar dat is logisch om die programma's uit te pakken. 22 maart is iig de datum geweest.

Er staat een map van vorig jaar met xmrig erin. Dat ziet eruit als een monero miner. Maar die lijkt verder niet opgestart te zijn geweest.

Her installatie van WHS 2011 zou zo gedaan moeten zijn met behoud van data in de drivepool. Echter, die schijf ligt natuurlijk heel goed opgeborgen.
Nahja, maar eens tijd vrij maken binnenkort.

[ Voor 71% gewijzigd door Arunia op 29-03-2018 15:19 ]

@ThinkPad Uiteraard was dat geen slimme zet. De server is na uitvinden meteen uitgezet en ontkoppeld. Hij is ondertussen ook opnieuw geinstalleerd (ben nog bezig met inrichten).
RDP naar buiten toe is gewoon een stommiteit geweest van toen. Ondertussen weet ik wel beter, maar heb het over het hoofd gezien in de tussentijd.

RDP heb ik ook eigenlijk alleen lokaal gebruikt en wellicht 1 keer in al die tijd over het internet.
Is ondertussen ook uitgezet in de router qua poort forwarding. Dus dat kan iig niet meer.

Die wachtwoorden zijn uiteraard op meerdere plekken gebruikt, echter niet met die gebruikersnaam. Ben wel bezig om alles om te zetten naar gegenereerde wachtwoorden van minimaal 20 tekens. Wat overigens wel een aardig werkje is. Inloggen op de nieuwe server is op dit moment even vervelend op die manier, maar goed. Het is dan maar zo.

Weer wat geleerd en hoop dat iemand anders er ook iets van kan leren zonder dat zoiets bij hen gebeurd.

@Verwijderd Heel erg bedankt. Erg interessant stukje. Daar stond inderdaad één van die toolkits bij. Even helemaal doorgelezen. Alhoewel ik niet helemaal erachter kom hoe ze binnen zijn gekomen, daar een deel van die toolkit is om rdp te bruteforcen. Dus kan het nog een andere mogelijkheid zijn geweest. Maar geen idee wat. Wellicht toch Teamviewer, maar mijn pc kom ik verder niets op tegen. Wellicht via de server geprobeerd de rest van de pc's (nahja, 1 pc, voor de rest hebben we niets wat aan staat eigenlijk) te zoeken, maar daar is verder niets wat RDP accepteert. Dus dat schiet voor de hacker niet op.