Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Plotseling wachtwoord veranderd?

Pagina: 1
Acties:

Vraag


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
Mijn vraag

Ik probeerde net op onze homecinema computer in te loggen maar tot mijn verbazing zat er ineens een wachtwoord op. Deze had geen wachtwoord. Vervolgens probeerde ik met mijn eigen account in te loggen en daarvan gaf hij aan dat het wachtwoord onjuist is. Dat is vreemd want ik logde met remote desktop wel vaker in met mijn eigen account en dat wachtwoord. Ik ben er dan ook 100% zeker van dat dat wachtwoord wel goed is.

Windows 10. Systeem hangt (hing op dit moment) aan het internet met remote desktop enabled en bereikbaar via port forwarding. Accounts zonder wachtwoord zijn niet te benaderen via RDP en mijn eigen account had een wachtwoord dat in principe niet te raden is (willekeurige tekens).

Heeft iemand enig idee hoe dit kan?
Wellicht een update die geïnstalleerd is?

Nog belangrijker: Hoe kom ik er weer in???

I love my Health Tech Start-up: ParkinsonSmartwatch.com

Alle reacties


  • MADG0BLIN
  • Registratie: juni 2001
  • Nu online
Laatste updates wel geïnstalleerd? Zijn de laatste tijd nogal wat rdp lekken geweest. Sowieso niet zo handig om rdp rechtstreeks aan het internet te hangen..

Backup terugzetten? Geen ander admin account?

  • Snake
  • Registratie: juli 2005
  • Laatst online: 15:37

Snake

Los Angeles, CA, USA

Kijk in de eventlog om te zien wanneer het paswoord was veranderd.

En erin komen: https://www.ubuntupit.com...ith-ubuntu-linux-live-cd/

Maareuh, zeker dat je eigen account niet expired is? Of keyboard config gewijzigd?

Going for adventure, lots of sun and a convertible! | GMT-8


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

1 vraagteken=vraag. 20 vraagtekens is op z’n best schreeuwen, ik haal de meeste even weg uit de topictitel ;)

Verder: als geen familielid oid het zou hebben gedaan zou ik uitgaan van malware. Trek de stekker er uit, start op van bootable usb of cd, scan en backup. Als besmetting, formatteer en zet alleen data terug.

Edit:
Hasse schreef op woensdag 20 mei 2020 @ 21:18:

Windows 10. Systeem hangt (hing op dit moment) aan het internet met remote desktop enabled en bereikbaar via port forwarding.
Leermoment: dat nooit meer doen. Doe tenminste een vpn ervoor.

[Voor 32% gewijzigd door F_J_K op 20-05-2020 21:49]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
Ja sorry voor de vele vraagtekens, ik was nogal verbouwereerd....

Het betreffende systeem heeft alle reguliere updates, staat geen vreemde software op. Doel van systeem is: home cinema, en ook niets anders dan dat. Familielid sluit ik ook uit.

Ofwel het komt door een update die spontaan is gaan installeren (gebeurt wel vaker) ofwel er is gehacked (ik gebruik dit beslist niet zo lichtzinnig als ambtenaren en twitter gebruikers dat doen). De implicaties van gehacked zijn, zijn volgens mij erg groot. Dan is RDP gewoon enorm lek en momenteel wordt dat nogal veel gebruikt volgens mij. En met reguliere updates geinstalleerd toch gehacked worden.... dan staat er morgen in de krant dat iedereen direct remote desktop uit moet zetten toch?

Ik heb net geboot van een Linux live CD en ga proberen of ik via die weg weer in mijn systeem kan komen.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
F_J_K schreef op woensdag 20 mei 2020 @ 21:46:
1 vraagteken=vraag. 20 vraagtekens is op z’n best schreeuwen, ik haal de meeste even weg uit de topictitel ;)

Verder: als geen familielid oid het zou hebben gedaan zou ik uitgaan van malware. Trek de stekker er uit, start op van bootable usb of cd, scan en backup. Als besmetting, formatteer en zet alleen data terug.

Edit:
[...]
Leermoment: dat nooit meer doen. Doe tenminste een vpn ervoor.
eh, nou dat systeem is qua data niet zo belangrijk maar er op afstand bij kunnen is wel lekker handig. Een VPN is eigenlijk te zwaar en ook beperkend (ik kan niet overal eerst een VPN gaan installeren om even thuis in te loggen).
Ik had eerst de gewoonte om portforwarding aan en uit te zetten via de remote bereikbaarheid van mijn FritzBox maar dat heb ik uit gezet toen die functie lek bleek te zijn.... 8)7

[Voor 10% gewijzigd door Hasse op 20-05-2020 22:09]

I love my Health Tech Start-up: ParkinsonSmartwatch.com


Acties:
  • +2Henk 'm!

  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Betreft RDP open op internet hoeft geen issue te zijn, mits goed beveiligt.
Installeer een Fail2Ban oplossing en een 2FA, dan ben je een stuk veiliger.
Beide opties hierboven hebben goede, gratis varianten.

Voor je wachtwoord, gebruik ik zelf altijd deze tool, heeft meerdere keren goed zijn werk gedaan bij vrienden :)
https://www.lazesoft.com/...rd-recovery-freeware.html

PSN: plexforce (ps4)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
WeHoDo schreef op woensdag 20 mei 2020 @ 22:13:
Betreft RDP open op internet hoeft geen issue te zijn, mits goed beveiligt.
Installeer een Fail2Ban oplossing en een 2FA, dan ben je een stuk veiliger.
Beide opties hierboven hebben goede, gratis varianten.

Voor je wachtwoord, gebruik ik zelf altijd deze tool, heeft meerdere keren goed zijn werk gedaan bij vrienden :)
https://www.lazesoft.com/...rd-recovery-freeware.html
Goed tool! Thanks for the tip. Het is altijd maar de vraag bij die freeware tools welke je nou wel en niet kunt vertrouwen.

Het had nog wel wat voeten in de aarde voordat ik kon booten vanaf CD. Ik heb er zo'n geavanceerde videokaart in en dat zorgde ervoor dat ik geen beeld kreeg. Het is me niet duidelijk waarom, wellicht speelde de HDMI matrix ook parte. Ik heb uiteindelijk de videokaart uit moeten bouwen en de onboard graphics van het mobo moeten gebruiken om vanaf cd te kunnen booten....

Wachtwoorden gereset, ik kan weer in mijn systeem! Yes! Thanks voor de hulp.

Maar wat nu?
Ik zit nog met veel vragen. Want als ik gehacked ben, wat is er nu dan nog te vertrouwen? Het enige juiste antwoord is natuurlijk 'niets', dat snap ik, maar wellicht zijn er nog wat subtielere zienswijzen?
- Kan ik ergens achterhalen wat er ongeveer gebeurt is? Waar in windows kan ikforensische informatie proberen op te duiken?
- Is alleen mijn wachtwoord veranderd of zijn ze ook binnengekomen op mijn systeem?
- Is mijn wachtwoord nu in verkeerde handen? (ik denk het niet, dan hadden ze hem ook niet hoeven veranderen en was het onopgemerkt gebleven)

Kortom, ik zit nog even met het vervolg nu ik er inmiddels weer in kan.... Wat zouden jullie doen?

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Je kunt je Event Viewer doorspitten en kijken of je iets kunt vinden.
Evenals in je service management / uitvoerende processen en door je Windows verkenner heen lopen of je vreemde mappen ziet.

En daarna, zou ik, je Windows opnieuw installeren voor de zekerheid, met een ander wachtwoord.
En dan de boel beter beveiligen.

PSN: plexforce (ps4)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34


Die 'Audit success' om 20:25 was ik zeker niet.... ik probeerde tegen 2100 in te loggen namelijk. Daarvoor en daarna zit het helemaal vol met Audit Failure.....

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Pak eens een Audit Failure en copy past even die tekst die erin staat in dit topic.

PSN: plexforce (ps4)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
WeHoDo schreef op donderdag 21 mei 2020 @ 00:00:
Pak eens een Audit Failure en copy past even die tekst die erin staat in dit topic.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       WEBSENSE
    Account Domain:     

Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:   -
    Source Network Address: 212.92.113.60
    Source Port:        0

Detailed Authentication Information:
    Logon Process:      NtLmSsp 
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.


Accountname bevat geregeld mijn eigen account naam en de algemene accountnaam (die zonder WW) maar ook zaken zoals: BEHEERDER, ADMINISTRATOR, en enkele bijzondere zoals die hierboven afgebeeld (WEBSENSE). Maar mijn 2 werkelijke accountnamen komen het meeste voor.

Verder valt op dat alle IP adressen van die failures steeds anders zijn. Bijna alle IP adressen zijn USA (tot zo ver mijn beperkte steekproef). Lijkt dus een botnet te zijn.
136.61.216.27,
212.92.113.60,
96.85.163.225 ,
162.212.202.221,
69.201.27.249,
47.180.4.36,
96.85.163.225,
223.27.31.231,
185.202.1.122,
205.237.59.253,
77.247.182.247,
2.136.132.30,
45.19.217.114,
205.251.155.111,
45.18.102.172 ,
99.159.86.198,
96.69.49.17,
212.92.116.116,
40.129.42.90,
54.75.224.177,
13.73.23.71

Deze laatste is een IP adres van Microsoft....... 8)7

[Voor 5% gewijzigd door Hasse op 21-05-2020 00:22]

I love my Health Tech Start-up: ParkinsonSmartwatch.com


Acties:
  • +1Henk 'm!

  • u34186
  • Registratie: september 2001
  • Niet online
@Hasse RDP is inderdaad een veelgebruikt protocol maar niet direct aan het internet. Als RDP al vanaf het internet bereikbaar is, zit er een RD Gateway tussen. Het liefst ook met 2FA.

Dan kun je nog beter iets als Teamviewer (met een sterk wachtwoord) gebruiken.

[Voor 19% gewijzigd door u34186 op 21-05-2020 00:24]

Block ads en trackers: uBlock Origin, uMatrix, Pi-Hole
YouTube: SponsorBlock en YoutubeVanced


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Yep, dit is een Brute Force aanval.
Installeer Fail2Ban voor Windows en een 2FA.
En update je Windows elke dag met taakplanner.

Of zet er een VPN voor.

PSN: plexforce (ps4)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
Het is op dit moment een 3 stappen plan:
1) Weer in het systeem kunnen (gelukt)
2) Oorzaak inventariseren en inschatten of het systeem nog veilig is en of er data gelekt is vanaf mijn systeem. (bezig, tips zijn welkom)
3) Voorkomen dat het weer gebeurt. Teamviewer is een goede suggestie. Fail2ban ook (alleen bij een botnet heb je daar denk ik niet zo veel aan). Wellicht 2FA, maar heb geen ervaring hoe ik dat het beste kan toevoegen voor toegang tot mijn PC op afstand.

Of 2FA zin gehad zou hebben is nog even de vraag. Het lijkt me toch erg lastig om mijn wachtwoord te brute forcen en toch is mijn wachtwoord veranderd. Het account zonder wachtwoord is niet remote mee in te loggen en had ook een ander wachtwoord. M.a.w. kennelijk was het mogelijk om op afstand wachtwoorden te veranderen. Wellicht dat 2FA dan ook te omzeilen geweest zou zijn?

Ik zit nog even in stap 2) voorlopig.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
TeamViewer altijd actief hebben is ook niet veel veiliger. In het verleden zijn hier ook hacks in geweest.
Wat ook een goede remote tool is, is CoMoDo Remote Control, is gratis en heeft 2FA.

PSN: plexforce (ps4)


  • u34186
  • Registratie: september 2001
  • Niet online
WeHoDo schreef op donderdag 21 mei 2020 @ 00:41:
TeamViewer altijd actief hebben is ook niet veel veiliger. In het verleden zijn hier ook hacks in geweest.
Wat ook een goede remote tool is, is CoMoDo Remote Control, is gratis en heeft 2FA.
Elke tool heeft kans op lekken, ook CoMoDo RC. De lekken zijn gepatched, dus de vraag is hoe ze daarmee omgingen. Teamviewer werd ook veel misbruikt door scammers als remote tool maar daar hebben ze ook wat tegen gedaan door een 'Possible scam warning' te tonen bij verdachte verbindingen.

Zolang de security niks mag kosten, zijn dit soort tools beter dan plain RDP.

@Hasse Voor je research zul je flink in de krochten van je event logs moeten duiken, aangezien dat waarschijnlijk het enige is dat je hebt. Maar ik twijfel of je daar veel aan gaat hebben. Trek hieruit gewoon de les: Dance like nobody is watching, encrypt like everybody is. :+

[Voor 17% gewijzigd door u34186 op 21-05-2020 00:49]

Block ads en trackers: uBlock Origin, uMatrix, Pi-Hole
YouTube: SponsorBlock en YoutubeVanced


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
WeHoDo schreef op donderdag 21 mei 2020 @ 00:41:
TeamViewer altijd actief hebben is ook niet veel veiliger. In het verleden zijn hier ook hacks in geweest.
Wat ook een goede remote tool is, is CoMoDo Remote Control, is gratis en heeft 2FA.
Thanks, ga ik mee nemen in de opties. Klinkt goed.

Als ik er vanuit ga dat dit gebeurt is:
https://www.zdnet.com/art...-since-start-of-covid-19/

Dan zijn ze vermoedelijk niet op mijn systeem geweest en worden de inloggegevens verhandeld. Wat mij dan bevreemd is dat het wachtwoord veranderd is. Dan heb ik dat toch gelijk door.... pas als het wachtwoord niet veranderd was dan zou het veel slimmer zijn. Door het veranderde wachtwoord vermoed ik dat ze mijn wachtwoord niet hebben. Echter na wat rekenwerk denk ik dat mijn wachtwoord wel in een jaartje of 8 te bruteforcen is. Dus die kan wel wat ingewikkelder gemaakt worden.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Evanescent schreef op donderdag 21 mei 2020 @ 00:47:
[...]

Elke tool heeft kans op lekken, ook CoMoDo RC. De lekken zijn gepatched, dus de vraag is hoe ze daarmee omgingen. Teamviewer werd ook veel misbruikt door scammers als remote tool maar daar hebben ze ook wat tegen gedaan door een 'Possible scam warning' te tonen bij verdachte verbindingen.

Zolang de security niks mag kosten, zijn dit soort tools beter dan plain RDP.

@Hasse Voor je research zul je flink in de krochten van je event logs moeten duiken, aangezien dat waarschijnlijk het enige is dat je hebt. Maar ik twijfel of je daar veel aan gaat hebben. Trek hieruit gewoon de les: Dance like nobody is watching, encrypt like everybody is. :+
Klopt, remote tools zijn altijd een risico.

PSN: plexforce (ps4)


Acties:
  • +1Henk 'm!

  • sprankel
  • Registratie: december 2006
  • Laatst online: 02:48
Als het wachtwoord veranderd is geweest dan is men wel degelijk op je systeem geweest. Er zijn gewoon een heel pak bedrijven die snel snel RDP open gezet hebben voor het thuiswerken en dat rechtstreeks aan het internet hangen om van thuis uit te kunnen overnemen.

In een bedrijfsomgeving werkt men doorgaans met domein gebruikers en zelden tot nooit worden lokale accounts gebruikt, die merken dat dus niet als de local admin zijn wachtwoord veranderd is.

En uiteraard, als men het ligt door te verkopen dan wil je niet dat iemand anders ondertussen dat wachtwoord kraakt, immers als het jou gelukt is dan lukt het iemand anders vast ook wel dus het eerste wat je doet is dat wachtwoord veranderen.

En als je een dergelijk login/wachtwoord koopt, opnieuw, het eerste wat je doet is het wachtwoord veranderen.

RDP is gewoon niet geschikt om rechtstreeks aan het internet te hangen met als basis reden, het is nooit ontworpen geweest om zo gebruikt te worden.

Formateer het ding en trek er je lessen uit is mijn advies. En ik hou mijn hart vast voor al die bedrijven die snelsnel alles aan het internet gehangen hebben om van thuis uit te kunnen werken, dat gaat nog vuurwerk geven.

En wat het brute forcen betreft, vermoedelijk gebruiken ze een dictionary attack, als men RDP gewoon aan het internet hangt zonder meer dan moet je in de meerderheid ook geen moeilijke wachtwoorden verwachten.

  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
WeHoDo schreef op donderdag 21 mei 2020 @ 01:04:
[...]
Klopt, remote tools zijn altijd een risico.
En blijkbaar ook als je alle updates gewoon geïnstalleerd hebt....
Ik zie op mijn andere systeem ook de hele log vol zitten met inlogpogingen. Systeem zit niet eens op poort 3389. Ik heb al mijn remote desktops gekilled nu en de poorten allemaal dichtgezet op de router.

Morgen is er weer een dag.
Bedankt voor de hulp!

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
sprankel schreef op donderdag 21 mei 2020 @ 01:10:
...

En wat het brute forcen betreft, vermoedelijk gebruiken ze een dictionary attack, als men RDP gewoon aan het internet hangt zonder meer dan moet je in de meerderheid ook geen moeilijke wachtwoorden verwachten.
Mijn wachtwoord staat echt niet in een dictionary. Qua snelheid zouden ze met bruteforcen er zo'n 8 tot 50 jaar over moeten doen. Dus ik denk dat er beveiligingsgaten zitten....ondanks up to date zijn met updates.....

Remote staat nu dicht. Ik zie geen hele goede reden om het systeem te formatteren eigenlijk. De virusscanner vind niets. Wachtwoord is veranderd en versterkt. Ik vermoed dat het niet verder is gekomen dan het oogsten van een login en dat er verder nog niets mee gedaan is.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
Ehm, bij nader inzien lijkt het toch wat ernstiger te zijn. Ik zie bij de downloads de file "webbrowserpassview.zip" staan. 41x om precies te zijn. De eerste al op 17-5.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Heb je iets gedownload wat geinfecteerd was? Dit is een tool om wachtwoorden te achter te halen op je pc.
Waarschijnlijk draait er ook iets om het TXT / CSV te uploaden naar de hacker.

PSN: plexforce (ps4)


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
WeHoDo schreef op donderdag 21 mei 2020 @ 01:32:
Heb je iets gedownload wat geinfecteerd was? Dit is een tool om wachtwoorden te achter te halen op je pc.
Waarschijnlijk draait er ook iets om het TXT / CSV te uploaden naar de hacker.
Nee. Ik had deze PC al een week niet gebruikt. Bestand is in downloads terechtgekomen op moment dat hij niet door mij gebruikt werd.... Er zit ook een wachtwoord op de zip file.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


Acties:
  • +4Henk 'm!

  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 18-06 00:26
Gewoon formatteren die hap, straks wordt je pc en/of je hele netwerk ge-encrypt en ben je nog verder.

PSN: plexforce (ps4)


  • Wim-Bart
  • Registratie: mei 2004
  • Laatst online: 10-01 17:43

Wim-Bart

Zie signature voor een baan.

Formatteren en alle andere systemen in je netwerk controleren op extra accounts. Alle systemen die geen wachtwoord vereisen, data veilig stellen en opnieuw installeren (format - setup) en andere account namen gebruiken. Veilig stellen van je data is nu stap 1.

Er is namelijk nog een ungepatched lek:
https://www.varonis.com/b...-rdp-security-weaknesses/

Je kan kijken naar zo iets. Voor home is het volgens mij gratis.
https://duo.com/docs/rdp

[Voor 32% gewijzigd door Wim-Bart op 21-05-2020 01:53]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Acties:
  • +1Henk 'm!

  • sprankel
  • Registratie: december 2006
  • Laatst online: 02:48
Hasse schreef op donderdag 21 mei 2020 @ 01:19:
[...]

Remote staat nu dicht. Ik zie geen hele goede reden om het systeem te formatteren eigenlijk. De virusscanner vind niets. Wachtwoord is veranderd en versterkt. Ik vermoed dat het niet verder is gekomen dan het oogsten van een login en dat er verder nog niets mee gedaan is.
Zelfs al vind je niets (en je hebt al wat gevonden), het systeem is gecomprimeerd geweest. Welke settings zijn er nog veranderd? Je hebt geen idee. Wat er is geïnstalleerd, je hebt geen idee.

Waarom zou een AV reageren op bijvoorbeeld een remote tool die geïnstalleerd is (voor het geval jij er toch achter kwam dat RDP geen geweldig idee was)? Of op een powershell script dat klaar staat en als het triggert een payload begint te downloaden?

Een AV moet dienen om een aanvaller buiten te houden maar in jou geval, ze zijn binnen geweest en jij hebt geen flauw idee wat ze wel of niet gedaan hebben => format disk is wel het minste wat ik je aanraad en als ik zie waar je mee bezig houd als werk op je profiel, no offense, maar overweeg een cursus cybersecurity.

Een up to date systeem != garantie op een veilig systeem, een verkeerde config en je bent vertrokken, een andere poort gebruiken heeft totaal geen effect op security en in dit geval is de poorten dicht zetten niet genoeg om de aanval te stoppen, het ding moet geïsoleerd worden van het netwerk en beschouwd worden als een potentieel besmettelijk machine die zowel over netwerk als usb devices kan proberen zijn payload door te pompen of nog kan proberen een payload binnen te trekken.

  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
Ik weet best wel wat van security. Deze pc is alleen niet zo belangrijk. Enige dat hij doet is een beamer aansturen.... Ik zie deze casus vooral als interessant en leerzaam. Formatteren is natuurlijk super simpel maar dan weet je nog altijd niets. En na het formatteren kun je ook niets meer opzoeken. Ik heb inmiddels de file met wachtwoorden gevonden die buitgemaakt is. Het is een sqlite bestand. Dus ik heb dan precies in beeld welke accounts het betreft. Ik heb ook de server gevonden waarop het verhandeld wordt en ik weet inmiddels de username van degene die op mijn systeem gezeten heeft.

I love my Health Tech Start-up: ParkinsonSmartwatch.com


Acties:
  • +2Henk 'm!

  • SparTi
  • Registratie: mei 2008
  • Laatst online: 13-06 21:59
Wellicht interessant om te delen hoe je achter deze gegevens bent gekomen? :)

  • FlipFluitketel
  • Registratie: juli 2002
  • Laatst online: 16:46

FlipFluitketel

Frontpage Admin
@Hasse Duo is 2FA en gratis te gebruiken. Je kunt tijdens het instellen er voor kiezen dat je alleen via RDP een extra handeling moet doen of ook bij lokaal inloggen. Voor 2FA kun je dan kiezen uit een pushmelding op je telefoon (of tablet) of een extra code invoeren (vergelijkbaar met Google/Microsoft Authenticator).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!


  • tmtx
  • Registratie: januari 2018
  • Laatst online: 11:37
Uit ervaring kan ik zeggen dat je beter het systeem kan formateren en opnieuw opbouwen.
Vermoedelijk zit er toch nog iets verborgen wat nu 'slaapt' en opeens je omgeving kan encrypten. De meeste ransomeware proberen ook je hele netwerk te scannen of er ergens nog een share is die ook encrypt kan worden. Overigens is het verstandig om ook je overige systemen te controleren.

[Voor 10% gewijzigd door tmtx op 21-05-2020 09:28]


  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
SparTi schreef op donderdag 21 mei 2020 @ 08:00:
Wellicht interessant om te delen hoe je achter deze gegevens bent gekomen? :)
Op de eerste plaats door interesse in de manier waarop om daar van te leren ;-). Omdat ik die computer al een paar dagen niet gebruikt had gaf een search op veranderde files binnen het datum bereik van de gedownloade zip files een lijst die goed te overzien was. Zelf de timestamps van de veranderde files kwamen overeen met die zip files in de downloads map. Toen vond ik onder meer een sqlite file met alle verzamelde browser data en een soort van log file met een forum url en username. Op dat forum worden inloggegevens verhandeld. Overigens staan in de sqlite database wel correcte login namen maar niet goede wachtwoorden. Ook zoekgeschiedenis en allerlei andere info is verzameld. Ik heb daardoor nu wel een beeld van hetgeen op straat ligt en wat ik moet veranderen. Ook mijn virusscanner bleek dat wachtwoord tool wel gevonden te hebben en verwijderd te hebben. Het beeld is nog wel dat het een volledig geautomatiseerde hack betreft.

Het systeem staat uit nu. Ik ga het vandaag maar eens volledig opnieuw inrichten. Ik heb daar een enorme hekel aan want dat betekent wel dat ik de komende tijd tegen allerlei kleine dingetjes ga aanlopen die ik ooit perfect had ingesteld.... alle kodi plugins en instellingen weer opnieuw maken.... pff..... gewoon irritant!

Ik heb overigens een developers mindset qua security en niet die van een systeem beheerder 8) . Dat wil zeggen dat ik meer interesse heb in de achterliggende techniek en minder snel geneigd ben om de boel gewoon te formatteren en opnieuw in te richten. Ik volg dan ook niet alle security exploit nieuws sites maar had wel gehoopt dat een lek in RDP de frontpage op Tweakers gehaald had......

[Voor 3% gewijzigd door Hasse op 21-05-2020 11:10]

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • FreakNL
  • Registratie: januari 2001
  • Laatst online: 17:47

FreakNL

Well do ya punk?

Tip;

Gebruik de Veeam Agent (gratis) om periodiek een backup te maken van dat systeem. Die backup kun je met de bijgeleverde boot ISO gewoon Bare Metal terugzetten (zelfs op een ander systeem of op een VM desnoods).

Dan had je nu namelijk een backup terug kunnen zetten van voor de hack en had je al dat config werk niet hoeven doen.

[Voor 3% gewijzigd door FreakNL op 21-05-2020 11:19]


  • PetervdM
  • Registratie: augustus 2007
  • Niet online
password op webbrowserpassview zip file is standaard voor deze leverancier: wbpv28821@
zie: https://www.nirsoft.net/utils/web_browser_password.html

  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
PetervdM schreef op donderdag 21 mei 2020 @ 11:57:
password op webbrowserpassview zip file is standaard voor deze leverancier: wbpv28821@
zie: https://www.nirsoft.net/utils/web_browser_password.html
Ah, interessant. De virusscanner is overigens allergisch voor de inhoud!

Ik ben overigens nog met mijn forensische actie bezig 8) en toch klopt er nog iets niet. Het lijkt zo tegenstrijdig dat een botnet ingezet wordt voor een bluekeep achtig beveiligingsprobleem. Voor een RCE (remote code execution) via RDP heb je toch geen botnet nodig namelijk. Mijn wachtwoord brute forcen duurt 8 tot 50 jaar op het tempo van dat botnet. Dus dat is ook niet zo waarschijnlijk. (inmiddels is het wachtwoord zo sterk dat het miljoenen jaren duurt). De enige conclusie is dat mijn random wachtwoord in een dictionary staat..... maar dat is dan ook wel erg vreemd (en zie ik ook niet als erg waarschijnlijk op dit moment)!

I love my Health Tech Start-up: ParkinsonSmartwatch.com


  • mathias82
  • Registratie: april 2017
  • Laatst online: 12:46
Hasse schreef op donderdag 21 mei 2020 @ 12:46:
[...]

Ah, interessant. De virusscanner is overigens allergisch voor de inhoud!

Ik ben overigens nog met mijn forensische actie bezig 8) en toch klopt er nog iets niet. Het lijkt zo tegenstrijdig dat een botnet ingezet wordt voor een bluekeep achtig beveiligingsprobleem. Voor een RCE (remote code execution) via RDP heb je toch geen botnet nodig namelijk. Mijn wachtwoord brute forcen duurt 8 tot 50 jaar op het tempo van dat botnet. Dus dat is ook niet zo waarschijnlijk. (inmiddels is het wachtwoord zo sterk dat het miljoenen jaren duurt). De enige conclusie is dat mijn random wachtwoord in een dictionary staat..... maar dat is dan ook wel erg vreemd (en zie ik ook niet als erg waarschijnlijk op dit moment)!
Tenzij je dat wachtwoord nog voor andere diensten hebt gebruikt die in het verleden gehackt zijn?

Acties:
  • +1Henk 'm!

  • Hasse
  • Registratie: juni 2002
  • Laatst online: 20-06 09:34
mathias82 schreef op donderdag 21 mei 2020 @ 13:34:
[...]
Tenzij je dat wachtwoord nog voor andere diensten hebt gebruikt die in het verleden gehackt zijn?
Goede opmerking!
Zeer beperkt. Dit wachtwoord was voor mij een sterk wachtwoord dat ik uit het hoofd kende. M.a.w. niet voor facebook of twitter achtige onzin maar accounts die ik uit het hoofd zou willen kunnen benaderen en die relatief belangrijk zijn. Ik hou natuurlijk haveibeenpowned in de gaten en ik had voor dit wachtwoord nog geen alarmbel. Gezien de gebruikte username's vermoed ik ook geen gelekte username/password relatie. Gezien de leeftijd van het wachtwoord kan ik ook niets uitsluiten en is het goed deze een keer te veranderen natuurlijk.

Lol, zie net dat het ook mijn Tweakers ww betreft betrof.... zou het?

[Voor 4% gewijzigd door Hasse op 21-05-2020 13:53]

I love my Health Tech Start-up: ParkinsonSmartwatch.com


Acties:
  • +3Henk 'm!

  • sprankel
  • Registratie: december 2006
  • Laatst online: 02:48
Hasse schreef op donderdag 21 mei 2020 @ 11:10:
[...]

Ik heb overigens een developers mindset qua security en niet die van een systeem beheerder 8) . Dat wil zeggen dat ik meer interesse heb in de achterliggende techniek en minder snel geneigd ben om de boel gewoon te formatteren en opnieuw in te richten. Ik volg dan ook niet alle security exploit nieuws sites maar had wel gehoopt dat een lek in RDP de frontpage op Tweakers gehaald had......
JIj wilt niet weten hoe vaak ik met ontwikkelaars in de clinch ga over security en dan heb ik het niet op de systeemkant maar letterlijk over hoe ze de boel ontwikkelen. Globale software voor het brede publiek is doorgaans best ok maar alles wat niche is, het is een ramp.
Uitvoerbare bestanden digitaal tekenen met een uitgever, wat is dat? Hoezo, ik mag geen files dumpen bij de install naar de syswow64 folder? (en dan nog liefst oude 32bit dll files). Hoezo we mogen niet rechtstreeks zelf mails versturen, dat werkt toch, je moet gewoon je SPF aanpassen als je ze naar extern stuurt (mails digitaal tekenen & DKIM kennen ze niet).

En als een AV product dan hun software onderuit haalt dan krijg je als antwoord dat je ze moet toevoegen als uitzondering. Als je vraagt hoe het komt dan krijg je volgend antwoord, omdat onze software voor speciale dingen geschreven is en de AV hier foutief op reageert. Dan begin je te graven en kom je erachter dat het ding port listeners heeft die als doorgeefluik naar een andere poort dienen (en dus poorten aan het remappen is) en dat het 100 verbindingen naar buiten opengooit op dezelfde poortnummer wat enkel werkt omdat Win wel zo slim is om dat te vertalen naar 100 verschillende poortnummers.

Moest de AV niet reageren op dat soort grapjes, dan doet die simpelweg zijn werk niet.

Punt dat ik wil maken, security != enkel het probleem van systeembeheerders, het is het probleem van iedereen inclusief de eind gebruiker die er niets van kent.

Uiteraard kan je de machine gaan onderzoeken om te kijken wat er gebeurd is, maar van het moment je doorhebt dat die gecomprimeerd is geweest gaat die in quarantaine en no way dat die terug in een netwerk actief komt voor je zeker bent boven elke twijfel dat er niets achter is gebleven. Een format geeft vrij veel zekerheid en lijkt mij in dit geval afdoende maar mocht je een high risk omgeving zijn, dan vloog die machine integraal het containerpark op.

Om u een idee te geven, als het niet gaat om simpele malware die vrij snel heel duidelijk is door bijvoorbeeld toolbars of ongevraagd contact advertenties te tonen, gemiddeld duurt het 9! maanden voor een bedrijf door heeft dat het gecomprimeerd is geweest.

Een bonus tip van de systeemkant, als je een machine hebt met een lastige config waar je veel tijd in moet steken, neem dan een backup van die config of van die machine. Disk failure, config overschreven, machine gecomprimeerd, HW replacement, ooit komt een dag dat je diezelfde config opnieuw moet doorlopen, als je dan vanaf 0 moet herbeginnen met alles uit te zoeken, dat leer je heel snel af als systeem beheerder.

[Voor 4% gewijzigd door sprankel op 21-05-2020 14:15]


Acties:
  • +2Henk 'm!

  • Chielemans
  • Registratie: november 2011
  • Laatst online: 14:34
Maak even een goede image, kan je openen in een sandbox. Even forensische analyse en dan een leuke blog van maken. Misschien best leuk om te doen :)

  • SparTi
  • Registratie: mei 2008
  • Laatst online: 13-06 21:59
Maak het liefst gebruik van Desired State Configuration (DSC) dan weet je precies welke setting je hebt/had staan en is een nieuwe installatie relatief een eitje.

Een image maken kan natuurlijk ook, alleen dat is meer een moment opname. Met DSC weet je de settings ook en dit moet je dan ook wel onderhouden.

Hoe dan ook, je hebt er iig pittig werk aan.
Chielemans schreef op donderdag 21 mei 2020 @ 17:50:
Maak even een goede image, kan je openen in een sandbox. Even forensische analyse en dan een leuke blog van maken. Misschien best leuk om te doen :)
Dat is wel een interessant idee voor dit soort situaties. d:)b

[Voor 31% gewijzigd door SparTi op 21-05-2020 18:23]


Acties:
  • 0Henk 'm!

  • SunnieNL
  • Registratie: maart 2002
  • Laatst online: 20-06 23:55
Voor de toekomst kun je ook overwegen om rdp aan te laten, maar niet te forwarden via je router. Op de machine zet je dan een html5 webserver zoals Myrtille.
Dan log je buitenaf in via html (autoacme kan zorgen voor Lets encrypt certificaten) en vanaf de browser ga je verder over rdp. Als je de webserver dan plaatst op een wat vreemdere poort krijg je een flink wat minder aanvallen binnen.

Signature here?

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True