Goedemiddag Tweakers,
Ik ben thuis wat aan het prullen geweest met een webserver.
Zal kort de opstelling schetsen:
Proximus routerke:
Port 443, 80 & 21 open naar een proxy/webserver. (IP: 192.168.1.100)
poort 10000+ open voor RDP naar remote computer (IP: 192.168.1.101)
Voor de rest staat er niks open naar binnen toe.
FTP/proxy: 192.168.1.100
Remote: 192.168.1.101
Website 1: 192.168.1.102
Website 2: 192.168.1.103
Rechtstreeks RDP naar de websrv kan niet
proxy (192.168.1.100) stuurt de 2 http/https aanvragen door naar 2 andere srv's (102 & 103) en verwerkt zelf de FTP op p21.
Dit is zeker niet best practice, hier ben ik van op de hoogte.
staat ook geen data op dat niet verspreid of verloren mocht gaan.
Nu vanmiddag werkte plots niets meer en kon ik niet meer inloggen op de websrv.
in safemode en local admin kon ik binnen geraken en zag het typische beeld "ENCRYPTED, BITCOIN,...'
Alles was encrypted, niet enkel data van de FTP ofzo maar tot randje toe dat ik nog net kon inloggen om de hack te zien.
Nu is mijn vraag, hoe hebben ze de volledige srv kunnen hacken?
Waar enkel port 21, 80 & 443 openstond.
En remote (intern)
(de remote PC is niks mee gebeurd of de andere websrv's)
Groetjes,
-edit-
dank aan @johnkeates
Web proxy & ftp: windows 2008R2
RDp: Windows 10
WEB 1 Ubuntu 18.04
WEB 2 Windows 2008R2
Ik ben thuis wat aan het prullen geweest met een webserver.
Zal kort de opstelling schetsen:
Proximus routerke:
Port 443, 80 & 21 open naar een proxy/webserver. (IP: 192.168.1.100)
poort 10000+ open voor RDP naar remote computer (IP: 192.168.1.101)
Voor de rest staat er niks open naar binnen toe.
FTP/proxy: 192.168.1.100
Remote: 192.168.1.101
Website 1: 192.168.1.102
Website 2: 192.168.1.103
Rechtstreeks RDP naar de websrv kan niet
proxy (192.168.1.100) stuurt de 2 http/https aanvragen door naar 2 andere srv's (102 & 103) en verwerkt zelf de FTP op p21.
Dit is zeker niet best practice, hier ben ik van op de hoogte.
staat ook geen data op dat niet verspreid of verloren mocht gaan.
Nu vanmiddag werkte plots niets meer en kon ik niet meer inloggen op de websrv.
in safemode en local admin kon ik binnen geraken en zag het typische beeld "ENCRYPTED, BITCOIN,...'
Alles was encrypted, niet enkel data van de FTP ofzo maar tot randje toe dat ik nog net kon inloggen om de hack te zien.
Nu is mijn vraag, hoe hebben ze de volledige srv kunnen hacken?
Waar enkel port 21, 80 & 443 openstond.
En remote (intern)
(de remote PC is niks mee gebeurd of de andere websrv's)
Groetjes,
-edit-
dank aan @johnkeates
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| +-------------------------------------------+ | +-----------+ +-------------+ | | | web proxy +--------> webserver1| | | | & ftp +-----+ | | | | +-----------+ | +-------------+ | | +-----------+ | +------------+ | | | rdp | +--->webserver2 | | | | | | | | | +-----------+ +------------+ | | | | +---------------------------------+ | | | | | | | andere vms | | | | | | | | | | | | | | | | | | | +---------------------------------+ | | hypervisor | +-------------------------------------------+ |
Web proxy & ftp: windows 2008R2
RDp: Windows 10
WEB 1 Ubuntu 18.04
WEB 2 Windows 2008R2
[ Voor 30% gewijzigd door Chris-1992 op 03-01-2019 19:17 ]
/u/417613/crop5df91c60a28d2.png?f=community)
(Die zet ik even in mijn start)
):strip_icc():strip_exif()/u/94769/horus.jpg?f=community)