公司的Win2008 R2 RDP主机在8/26被骇入,被骇的至少有三个网域帐号
帐号以往都会设定登入时自动挂载网络磁盘机连接到档案服务器
8/26早上6:40就有来自葡萄牙的IP(82.102.21.212)用被骇的网域帐号登入此RDP主
机,并执行一个名为AntiRecuvaAndDB.exe的程式来加密各磁盘区下有写入权限的档案
(当时看到工作管理员中出现这一处理程序)
导致档案服务器下此帐号有权限能写入的档案都被加密,约占全部档案的30%
被加密的档案有出现含有骇客e-mail的副档名字串
https://i.imgur.com/5JjsZtH.jpg
不过并没有发现在各加密资料夹下有汇款说明文字档
还好档案服务器每天都有做备份,确定无安全疑虑就将档案倒回去了
在被骇前此RDP主机有在内建的windows防火墙RDP规则中做设定
只有限定某几个外部信任IP才能连入远端桌面服务
且也有用以外的几个外部IP做测试证实是会被挡掉的
微软五月公布的RDP漏洞安全更新也已经安装,但八月的更新还未做
不过内建防火墙显然没有发生作用,没能挡下这些白名单以外的IP
怀疑是否被用RDP漏洞开采了
骇客还上传了一些工具,应是用来取得目前登入该主机的帐号密码
被骇的三个帐号资料夹下都有这些档案
https://i.imgur.com/O44L4WV.jpg
目前作法是在Router上针对RDP主机设定外部IP存取白名单
将被骇帐号停用,并删除user profile资料夹
将能登入到RDP主机的帐号设定到最少,且这些帐号不再自动挂载磁盘机
关于在Server端是否还有哪些安全措施必须做、建议做的呢?