公司的Win2008 R2 RDP主機在8/26被駭入,被駭的至少有三個網域帳號
帳號以往都會設定登入時自動掛載網路磁碟機連接到檔案伺服器
8/26早上6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號登入此RDP主
機,並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案
(當時看到工作管理員中出現這一處理程序)
導致檔案伺服器下此帳號有權限能寫入的檔案都被加密,約佔全部檔案的30%
被加密的檔案有出現含有駭客e-mail的副檔名字串
https://i.imgur.com/5JjsZtH.jpg
不過並沒有發現在各加密資料夾下有匯款說明文字檔
還好檔案伺服器每天都有做備份,確定無安全疑慮就將檔案倒回去了
在被駭前此RDP主機有在內建的windows防火牆RDP規則中做設定
只有限定某幾個外部信任IP才能連入遠端桌面服務
且也有用以外的幾個外部IP做測試證實是會被擋掉的
微軟五月公布的RDP漏洞安全更新也已經安裝,但八月的更新還未做
不過內建防火牆顯然沒有發生作用,沒能擋下這些白名單以外的IP
懷疑是否被用RDP漏洞開採了
駭客還上傳了一些工具,應是用來取得目前登入該主機的帳號密碼
被駭的三個帳號資料夾下都有這些檔案
https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上針對RDP主機設定外部IP存取白名單
將被駭帳號停用,並刪除user profile資料夾
將能登入到RDP主機的帳號設定到最少,且這些帳號不再自動掛載磁碟機
關於在Server端是否還有哪些安全措施必須做、建議做的呢?