Netstat laat vreemde connecties zien - should i be worries?

Om de applicatie te zien: -b flag toevoegen aan netstat.

[ Voor 12% gewijzigd door Klippy op 30-03-2021 23:40 ]

Da_maniaC schreef op dinsdag 30 maart 2021 @ 23:32:

Telkens verzoeken op poort 3389 (microsoft rdp) vanuit Moscow. Moet ik mij hier zorgen over maken?

Ja, want je hebt blijkbaar poort 3389 open staan. Dat is echt een heel slecht idee.
Pak op z'n minst een random hoge poort icm met iets als Evlwatcher: https://github.com/devnulli/EvlWatcher, dan heb je nog iets gedaan. Maar blijft security through obscurity. Maar als je echt van buitenaf bij je pc wil: gebruik vpn.

[ Voor 29% gewijzigd door sig69 op 31-03-2021 00:06 ]

@Da_maniaC Waarom heb je TCP/3389 überhaupt ooit open gezet middels een 'FORWARD' naar 192.168.1.2 (het LAN adres van je PC) vanop je firewall / router?

Lekkere 'Zombie PC' zal dat inmiddels wel zijn

@sig69 Je 'neemt' geen VPN in zo'n geval. Je zet lokaal zélf een VPN Endpoint op waar je zelf naar kúnt verbinden vanop een willekeurige locatie op 't Internet.

[ Voor 68% gewijzigd door Will_M op 31-03-2021 00:32 ]

@Will_M Ja ok, "gebruik vpn" dan.

[ Voor 170% gewijzigd door sig69 op 31-03-2021 00:04 ]

Da_maniaC schreef op woensdag 31 maart 2021 @ 07:36:
Hallo allen, bedankt voor de reacties.
Ik heb gisteren toen ik dit opmerkte ook meteen de forward(s) uitgezet.

Hoe zet ik een VPN Endpoint op?
Uiteindelijk moet ik voor het remote verbinden van rdp sessies poort 3389 kunnen blijven gebruiken toch? Of is dat poortnummer ook te wijzigen?

Aan de binnenkant wel ja, aan de buitenkant kun je een andere random poort nemen. De default poort 3389 wordt door de buitenwereld bestookt met pogingen.

VPN opzetten inderdaad, kan mogelijk op je router, of een machine met bijvoorbeeld openVPN. Of de machine waar je op moet zijn zou je ook Teamviewer op kunnen gebruiken.

Je kan ook iets als Tailscale gebruiken, gratis voor persoonlijk gebruik.
https://tailscale.com/kb/1095/secure-rdp-windows

Da_maniaC schreef op woensdag 31 maart 2021 @ 07:36:
...
Uiteindelijk moet ik voor het remote verbinden van rdp sessies poort 3389 kunnen blijven gebruiken toch? Of is dat poortnummer ook te wijzigen?

Voor de zekerheid: als je vanaf deze, geïnfecteerde, computer verbinding wilt maken naar een andere computer via RDP, heb je geen port-forwards nodig.
Port-forwards kun je gebruiken om vanaf een andere computer verbinding naar deze, geïnfecteerde, computer te maken. Maar omdat microsoft wat steken heeft laten vallen in de beveiliging van RDP, heb je daardoor de hele wereld toegang gegeven.

't Is misschien irritant dat ik consequent spreek over "deze geïnfecteerde computer" maar ga er van uit dat het ding gecompromitteerd is. Dus back-up maken van de user data, low-level format van de hard disk, en windows opnieuw installeren.

Als je dan vervolgens toch via RDP toegang tot de machine wil, maak dan in ieder geval een white-list aan in de firewall. Zodat alleen vertrouwde computers kunnen connecten. Maar een vpn server in je netwerk opnemen is beter

Da_maniaC schreef op woensdag 31 maart 2021 @ 14:18:
[...]


Enige manier om aan te tonen dat mijn computer compromised is? Ik zou dit niet zomaar geloven namelijk (machine is rustig, draaien geen vreemde processen op en ik betwijfel ten zeerste dat er ooit een verbinding is gelegd via RDP door een vreemde gebruikers ivm random-generated passkey wachtwoord).

Dat is dus het probleem. Dat weten we niet, dat is ook heel moeilijk te achterhalen.
Voor hetzelfde geldt is er een bepaald process in de nacht bijvoorbeeld actief. Of maakt jouw server deel uit van een slapende DDOS netwerk.

Da_maniaC schreef op woensdag 31 maart 2021 @ 14:18:
[...]
ik betwijfel ten zeerste dat er ooit een verbinding is gelegd via RDP door een vreemde gebruiker ivm random-generated passkey wachtwoord).

Eén van de steken die microsoft heeft laten vallen bij het beveiligen van RDP is dat je helemaal geen password nodig had om in te loggen. Kwestie van de juiste buffer overflow sturen en je kwam er zo in

Yup, een wachtwoord is leuk maar als er een pre-authentication vulnerability is gevonden + exploit code en je hangt zo aan internet dan is het game over. Bluekeep als voorbeeld: "This latest RDP vulnerability could allow hackers to remotely run code at the system level without even having to authenticate."

Da_maniaC schreef op woensdag 31 maart 2021 @ 14:23:
[...]


Wanneer Malwarebytes, Comodo Firewall en Process Explorer Monitor rustig zijn (overdag en snachts)...ben ik hier niet van overtuigd.

Die tooltjes zijn leuk bij poging tot inbraak. Jij hebt de voordeur openstaan. Dan gaat geen enkel tooltje af.
Op het moment dat er toegang verkregen is dan is het systeem gecompromitteerd en kan er niets hersteld worden.

[ Voor 3% gewijzigd door com2,1ghz op 31-03-2021 14:26 ]

Gewoon opnieuw installeren die bak.
Hopelijk heb je een offline backup van belangrijke bestanden.