Archives for denyhosts Windows

#cybersecurity How to block a brute force attacks against Windows Servers, #MSExchange, Remote Desktop and more

Syspeace - intrusion prevention for Windows servers

How to block a brute force attack against Windows Servers, Exchnage Server, remote Desktop

If your server or datacenter is targeted by a brute force attack a.k.a dictionary attacks , it might be hard to figure out how to quickly make it stop.
If the attack is from a single IP address you’d probably block it in your external firewall or the Windows Server firewall and after that start tracking and reporting the attack to see if needs following up.

However, if the attacks is triggered from hundreds or even thousands of IP addresses, it will become basically impossible to block all of them in the firewall so you need something to help you automate the task.

This is where Syspeace comes into play.

Fully functional, free trial for bruteforce prevention

Since Syspeace has a fully functional trial for 30 days, you can simply download it here ,install, regsiter with  a valid mail address, enter the licensekey into the Syspeace GUI and the attack will be automatically handled (blocked, tracked and reported) as soon as the Syspeace service starts up.

In essence, the attack will be blocked within minutes from even connecting to your server.

The entire process of downloading, installing and registering ususally only takes a few minutes and since Syspeace is a Windows service it will also automatically start if the server is rebooted.

If the attack is triggered to use just a few login attempts per attacking IP address and for a longer period of time in between attempts, I’d suggest you change te default rule to monitor for failed logins for a longer triggerwindow , for example 4 days so you’d also automatically detect hacking attempts that are trying to stay under the radar for countermeasure such as Syspeace.

The Syspeace Global BlackList

Since Syspeace has already blocked over 6,5 Million attacks worldwide , we’ve also got a Global Blacklist that is automatically downloaded to all other Syspeace clients.

This means that if an IP address has been deemed a repeat offender (meaning that it has attacked X number of Syspeace customers and Y number of servers within Z amount of tme), the attackers IP address is quite likely to already be in the GBL and therefore it will be automatically blacklisted on all Syspeace-installations, thus making it preemptively blocked.

Syspeace does not simply disable the login for the attacker, it completely blocks the attacker on all ports from communicating with your server so if you’ve got otther services also running on the server (such as an FTP or SQL Server) the attacker will not be able to reach any if those services either. The lockdown is on all TCP ports.

More Syspeace features, supported Windows Server editions and other services such as Exchange Server, Terminal Server, SQL Server …

You will also get tracking and reporting included immediately for future reference or forensics.
Syspeace supports Windows Server editions from Windows 2003 and upwards, including the Small Business Server editions. It also supports Terminal Server (RDS) and RemoteAPP and RDWeb, Microsoft Exchange Server including the webmail (OWA) and SMTP connectors, Citrix, Sharepoint,SQL Server and we’ve also released public APIs to use with various weblogins. All of this is included in Syspeace. Out of the box.
We’ve got a IIS FTP server detector in beta and also a FileZilla FTP Server detector and we’re constantly developing new detectors for various server software.

Download and try out Syspeace completely free

Even if you’re not being attacked by a large brute force attack right now, you can still download the trial and have Syspeace handle attacks for you in the background. Who knows, there could be more invalid login attemtpts than you think, such as disabled or removed users that have left the company or very subtle, slow dictioanry attacks going on in the background that actaully might be quite tricky to spot if your not constantly monitoring logfles.

On this blog, https://syspeace.wordpress.com ,we’ve written a lot of blog articles on how Syspeace works and a lot of other articles regarding securing your servers that we hope you’ll find useful.

By Juha Jurvanen

The anatomy of hacking attacks and a few countermeasures

konsult inom backup It säkerhet molntjänster hacking attacks

Various hacking attacks against servers and users

First of all, there are multiple types of hacker attacks and they all have different purposes.
There are also many different types of hackers and they all have cool names like “White hat” hackers and “Black hat” hacker.
The White Hat ones are usually the security experts hired at a company to check and verify the IT security measures at other companies.
The Black Hat hackers are not. They’re the ones to be afraid of.
I’m neither of them. I’m simply a consultant and the best of these guys know far more about theses things than I do but still, I thought I’d run through a few common attacks targeted to accomplish various things.

There are many reasons why an attacker wants to hack you.

It could be hacktivism and political reasons or an attempt to gain access to your server to be able to use it for hacking others (basically they want access to your CPU, RAM and disk to hide stolen data and tools, mine for Bitcoins or whatever and to have an IP address to use, not leading back to their own).
There’s a few very cool and easy ways to hide files on servers that ar more or less impossible to find such as hiding a file “behind” another file and so on.

Of course in some cases it can also be about trying to steal company secrets (industrial espionage), possibly a former (or current for that matter, internal data theft and hacking is far more common than you’d expect) discontent employee looking to sabotage or looking for revenge or in some cases, just for the fun of it to see if it can be done.

The pre-run. Checking out your site, server with portscans and bruteforce atttacks

First of all, any hacker will need to know what you’re running and what it looks like. “Know thy enemy” so to speak.
Usually a portscan of your servers will reveal quite a lot of information and there are loads of tools to do this, quietly, undetected and efficiently such as nmap or even Google actually.

In order to make it a bit more difficult for them I’d suggest you have your firewall correctly configured for blocking portscans, your servers on a DMZ and also to hide any banner revealing what software you’re running and what version. This can’t be done with all software I’m afraid but the ones that you can, please consider doing so.
For a hacker to know exactly what you’re running will only make his/her life much easier since all they do is to start
looking for any known vulnerabilities and so called exploits to that software and version.
Usually software developers have released a patch but unfortunately, a lot of software never gets updated in time due to the old “if it works, don’t fix it” attitude among a lot of server tekkies and hosting providers.

Another thing is to move all default pages and scripts (or delete them if you’re not using them) to make a bit more difficult to figure out what you’re actually running and how it is setup. Have for instance 404 error messages redirected to the start page or Google or your worst competitor and also 403 errors ..

DoS attacks and DDoS attacks and also hiding behind them.

A DoS attack is a “Denial of Service” attack which means that your server is in some way attacked and made to stop servicing your clients / users or customers the way it’s supposed to, for instance your webmail / OWA or a webshop or RDP services.

This can be accomplished in many ways. A DDoS attack is a DoS attacked but with the difference that it is a Distributed DOS attack meaning there are a lot of more computers involved in doing the attack.
These attacks often have the main purpose of taking a website down by overloading it really.

If you’ve got a web server servicing for instance a webshop and a hackergroup for some reason don’t like you, they’ll get a few hundred thousand computers around the world to ask for a specific document or picture on your website, thus overloading it so it can’t really service your customers since the server is busy handling the bogus requests.

It is not uncommon also for a hacker to hide behind these attacks to try and find out what kind of countermeasures you have in place such as Syspeace. The idea behind it is basically to became invisible in all the log noise a DDoS attack generates.

Worst case, hacking attacks such as this can actually go on for weeks and it has happened often. That is also simply an extortion. “If you pay us this and this much , your webshop will be back online again, otherwise not”. For some companies this of course could be an absolute disaster, imagine for instance around the Christmas sales.

Now, it might sound impossible to find a few hundred thousand computers to get such an attack underway. It’s not. They’re out there in botnets spread over VPS and physical machines and they’re for hire even. Including a trial run and with support.
Brave new world ..

There are ways to handle these attacks. For instance increasing the service capacity on the server, increasing you bandwidth and also have a talk with your ISP on how to mitigate the attacks if they have solutions in place for it. You could also have for instance a powerful SNORT server in front of the firewall to get rid of some of the traffic. You should also have Syspeace in place for handling the bruteforce atatcks

Poorly updated applications or neglected updates and 0day exploits

If a server is poorly updated and the application/website is sensitive for instance that the hacker simply adds some code against the webaddress trying to browse the file system on the server then this can also render in a DOS attack or even worse, the attacker gets hold of the users and administrator/ root passwords. Once they’ve got that, your pretty much ..well. you won’t be having a good day. Basically you need to make sure your webserver is always correctly updated, and you also need to make sure that the underlying file system can’t be reached from the outside more than absolutely necessary.
Make sure you checked every directory and path on the website and what actually is reachable, writeable and browsable. If you’ve got pages you don’t want indexed then hadndle that in the robots.txt or have them secured behind a user login page.If you’re running a Wordporess site, make sure you hav alarma set up for outdated plugins, changes to files and so on and and make sure to deal with it asap.

Unfortunately, from time to time there are also so called 0day exploits out in the wild and those are very hard to defend yourself against. If get alerted that there is one in the wild for your environment, please keep alert and stay on your toes until a patch is released and follow any best practices released by the vendor! This can also fall under the category viruses and trojans further down.

SQL Injections and badly formatted requests

If the website uses a SQL Server / MySQL or has any input form to validate or gather something, please make sure that the application strips away any characters that could make your server vulnerable to SQL Injections since the SQL Server is usually run with administrative rights making the SQL Server injections being run with high privileges and accessing the operating system.

If you don’t know how the application is written, please contact the developers of it and ask them and have them verify this.

For any part of the website where there are input forms, makes sure that all input is validated in terms of what characters are used and how long the input is.
If a website is poorly written and poorly validated, a memory buffer overflow can occur which basically means that the input is so large or strangely formatted that the server will stop working or even give the attacker access to the servers operating system by overwriting stuff in the RAM in a way that it’s not supposed to.

Viruses, rootkits and trojans.

If an attacker has been able to lure your users to a site that contains infected code (sometimes also called drive by hacking) and the web browser or plugins to it (Java, Adobe, Flash and so on) are sensitive to that particular infections you user might come down with an infected computer.
Depending on what actually has been infected and why the consequences vary of course.

This is often done by sending emails with links to websites or trying to get user to plug in an infected USB stick into their PC.

I’ve heard of companies that have been affected with a virus rendering them unable to work since nobody was allowed to even plug in their computers to the work networks until they could be sure they’d got rid of it. In this case it was a lot of computers so I think it took them 3 week until people actually could start working again, 3 weeks without any work. That’s a costly thing for any company.The same standstill could also come from a ransom virus, basically encrypting all your files and you’ll have to pay money to get the right decryption password.

The way to minimize such a horrible standstill is to make sure that ALL of your devices connecting to the network are properly updated with antivirus products (please do not use the free ones ..ever!) but also you need to make sure that any other software is properly updated . Java, Flash, and the operating system itself .
This also goes for workstations connecting from home and so on or otherwise you might be in for a bad day. You should also be very restrictive when it comes to letting users use USB drives and stuff. They might be infected with something.

MITM – Man in the Middle, proxies and easedropping

If you’ve got a corporate network, you want to know what devices actually are on it and why. If someone for instance sets up a computer and has all of the corporate traffic routed through (by acting a proxy) , all of your communicating is being copied and this can be done in various ways. The same goes actually for you if you’re using public WiFi hot spots which I would never recommend anyone really using. To intercept data isn’t very difficult unfortunately, especially if it isn’t protected by valid certificates.
You need to use valid SSL certificates and there’s no reason to use anything lower that 2048 encryption and you must also disable weak cipher and other stuff before your SSL is correctly set up. Check your configuartion against for instance on Qualsys SSL Labs.
Also make sure that all communications are secured within your network.

Brute force and dictionary attacks.

I’ve written loads and loads on this earlier so I won’t linger on it. A brute force or dictionary attack is basically someone trying to get access to your server by guessing the username and correct password using a large list of common passwords or a dictionary and simply trying them one by one (well, thousands at a time really since its’s automated).

To protect your servers and user you need to have a intrusion prevention system in place. For Windows Servers I recommend using Syspeace (and you can also use Sysepace for protecting web applications you’ve protected through the Syspeace API) and on Linux servers I’d have a look at fail2ban. You should also use and enforce complex passwords.

Anything that comes with a default password for logins (routers, switches, printers and so on) should have the password changed from default!
These are always sensitive to brute force attacks and there are sites on web listing thousandfs of default passwords out there

You should also have a very strict policy to immediately block an employees account as soon as they’re no longer with the company and you should be very careful with what user rights you grant your users since they can easily be misused.
You should also have software in place for managing mobile phones and other devices that your employees have and the ability to wipe them clean if they get stolen or if you suspect internal mischief from an employee.

On site data theft and social engineering.

Well. In a sense , it’s not hacking but it’s more fooling people. Not the initial part anyway.
Basically someone turns up, claiming to be from the phone company, a cleaning company, your IT support company or anything that makes sense and they want access to the data center, server room to “fix” something. This is also referred to as social engineering. First the hacker finds out as much as possible about the company they’re attacking and then use that information to gain access to workstations or servers within the company,

Once they’ve actually gained access, they’ve got USB sticks to insert into workstations or servers , either loading a software into them such as trojans or keyloggers or just something that elevates rights or maybe they’re simply after just copying the data.
It all depends on how much time they have and if they’re alone. In some scenarios it might even just be a trick for them to gain access to backup tapes since all the companys data is on them .
They could also bribe janitors, cleaning staff and so on to steal backup tapes for them since they far too often will have access to the datcenters and they’re
not that highly paid.

There are a lot of tools that can simply put on a USB stick, boot up the server and you can reset administrator passwords, overwrite systemfiles (or plant a trojan or destroy them to render the server unbootable) , steal data and so on and a lot of them are surprisingly user friendly like for instance Hiren’s BootCD

A variation of this is of course people phoning someone up, claiming to be from the IT departement or Microsoft or somewhere, wanting to “help you” with a problem and asking for remote access to your computer. Once they gain access, they’ll do same things. Plant a trojan or a virus or a keylogger and the basically own the computer.

To protect your company data please always make sure you know who and why people are on site, never have anyone come near servers without supervision or the users workstations and if possible, disable any USB ports and always use password protected screen savers.

Every device on your network must also have a good antivirus running in case someone still manages to put an infected USB stick into the workstation.
Also make sure you talk the users about the hazards of giving anyone access to their computer.

If you suspect you’ve been hacked. What to do. Contingency planning

First of all, try to verify that you have been hacked and also try to find out when. In some cases you’ll have to revert to backups taken BEFORE you we’re hacked to be sure that you don’t restore a root kit or something.
This also means your backup plans and DRP plans need to take these scenarios into account so don’t be cheap with the number of generations you actually save.
You might need something from 6 months ago.

Try to find out what happened, when it happened, how it happened and have it fixed before you allow access to the server again. There’s no sense in setting the same flawed server up again. It will only be hacked again,

Don’t be afraid to make it a matter for the police. They need to know about it and they want log files and any documentation you may have.

When you get the server up and running again (or preferably before you’ve been hacked) make sure to have monitoring set up for the server. If it’s a website for instance, you want to be alerted if anything changes on in the html code for website for instance, or if the site is responding slowly (this doesn’t have to mean you’ve been attacked but could point to other problems also such as disk problems, misconfigured server settings or ..well..anything really. In any case you want to look into it.)

So , these were only a few methods and there a loads and loads more of them .

I’ve written a few other blog articles on securing servers, data centers and on brute force prevention and here’s a few links to previous articles. Most of are copied from older blogs and I do admit I haven’t nor proofread them nor formatted them for this site yet. I will. Eventually.

Articles by Juha Jurvanen on securing your server environments

Securing server environments – Part I – Physical aspects

Securing server environments – part II – Networking

Securing your Windows servers and MSExchange with an acceptable baseline security | Syspeace – Brute force and dictionary attack prevention for Windows servers

Windows Server intrusion prevention for Cloud providers and hosting providers

Should you need consulting or ideas on these questions or on backup/restore or on building cloud services / migrating to cloud services ,
I’m reachable by clicking the link below.

Juha Jurvanen – Senior IT consultant at JufCorp”>By Juha Jurvanen – Senior IT consultant at JufCorp

End of life för Windows Server 2003 – Dags att migrera till nytt OS eller flytta till Molnet ?

End of life för Windows Server 2003 imorgon

konsult inom backup It säkerhet molntjänster återsartsplaner för IT

Imorgon är det sk Patch Tuesday dvs den dagen varje månad då Microsoft släpper olika uppdateringar för sina operativsystem.

Morgondagen är dock lite speciell då det är sista gången Microsoft släpper uppdateringar för just Windows Server 2003 familjen. Efter det kommer alltså inga nya säkerhetsuppdateringar att släppas och det är väldigt viktigt att vara medveten om.

För företag och föreningar som fortfarande använder någon variant av Windows Server 2003 familjen finns alltså en del saker att tänka på efter det.

Valen man står inför är att migrera till ett nyare operativsystem med allt vad det kan innebära som t.ex. inkompabiliktet med programvaror man kör. Oftast går det att lösa men kräver en del testande och tid att lägga ner på projektet för att vara säker på att verksamheten kan fortsätta utan överraskningar. Saker som länkar hos användare och olika pekar i filsystemen kan också ställa till en del trassel om man bara installerar upp en ny server i miljön.

Flytta till en plattformsoberoende molntjänst som Red Cloud ITs rCloud Office?

Ett annat alternativ är att t.ex. börja undersöka molntjänster dit man kan flytta sina applikationer som t.ex. Red Cloud ITs rCloud Office. Fördelar här är t.ex. att flytta sin Visma eller Pyramid och i ett slag göra den även åtkomlig från iPad, Android o.s.v men ändå ha säkerheten, backuper och generationshanteringar inbyggd till en fast kostnad per användare och månad.
Många CRM och affärssystem finns helt enkelt inte för MAC, Android , iPad osv men utvecklingen går alltmer åt BYOD dvs låt användarna själva bestämma vilket operativ eller plattform de vill använda. Då behövs lösningar som stöder att de kan komma åt affärssystemet o.s.v.

Oavsett bör man som företag se över sin IT miljö eftersom det helt enkelt över tid kommer bli alltmer osäkert att köra ett operativ som inte längre stöds. Hackers kommer att utnyttja vetskapen att ett tidigare oupptäckt säkerhetshål helt enkelt inte kommer att åtgärdas.

Det finns en del saker att göra under en övergångsperiod dock eftersom det ju kommer nya patchar imorgon.

Nedan är några punkter att tänka på

1. Se till at ha fungerande certifikat på all kommunkation till och från servern för att skydda er mot eventuell avlyssning och sk Man in the Middle attacker. Kom ihåg dock att bara installera ett SSL certifikat inte räcker, det behövs fler ingrepp i servern för att säkra upo den. Certifikatet i sig skyddar inte heller mot t.ex. skadlig kod eller intrångsförsök.

2. Se till att ha ett väl fungerande antivirus, t.ex. F Secures PSB lösning där man kan ta hjälp av tredje part att övervaka eventuella larm och använda dess Software Updater.

3. Ett automatiserat intrångsskydd för lösenorsdattacker med Syspeace. Det pågår väldigt mycket intrångsförsök i bakgruinden som man ofta är helt omedveten om.

4. Gå igenom vilka portar i brandväggar som är öppna och tänk igenom dem noggrannt. Vad behöver egentligen vara öppet ? Stän allt som inte uttryckligen måste vara öppet. Styr trafik korrekt.

5. En stark, tvingande lösenordspolicy för alla användare. MINST 8 tecken o.s.v.

6. Se till att alla program är uppdaterade, även Java och Flash o.s.v. om de körs på servern och den används som Terminal Server. Generellt sett så ska programvaror alltid vara uppdatrade till senaste versioner. Har ni en lite större miljö finns lösningar för att distribuera ut programvaror från centralt håll , även till era arbetsstationer, t.ex med PDQ Deploy eller via Group Policies.

7. Gå igenom alla fil och katalogrättigheter på servern och följ de rekommendationer som finns. Googla på uttryck som 2003 Server Hardening och läs igenom och testa att ni satt upp sakerna efter bästa rekommendationer.

8. Om ni kör t.ex. Windows Server 2003 SBS behövs en del eftertanke med hur er mail ska hanteras framöver. Det kan handla om stora mängder datat i en Exchange Server och kräva en del eftertanke med hur det ska migreras på bästa sett , antingen till en extern leverantör elelr till en ny mailserver,

9. Tänk igenom om servern behöver vara nåbar från Internet egentligen ? Finns det möjlighet att flytta Internet acessen till ett nyare operativ och låta åtkomst hanteras av den istället ? Är en VPN lösning smidigare eller finns det andra sätt att sköta extern åtkomst ? Det får ju inte vara för krångligt för användarna.

10. I sak har inte den här punkten med migrering av Windows Server 2003 att göra men kolla igenom backuperna kontinuerligt och tänk igenom hur ni kanske vill ha en arkivkopia av den gamla servern efter en migrering ? Hur ska den återläsas om det behövs ?

11. Fundera på vilken väg ni vill gå vad gäller er IT miljö. Till en extern molntjänst eller kanske dags bygga ett eget privat moln eller en hybrid ? Att flytta sina saker till en molntjänst kräver en del eftertanke och är kanske inte alls rätt väg för er.

Återanvända serverparken ?

Att uppgradera den befintliga serverparken kan vara den bästa lösningen för just er verksamhet. Troligen är det äldre servrar som körs om ni fortfarande använder Windows Server 2003 men de maskinerna kanske går att återanvända till andra saker (dvs först installera om / uppgradera dem till nyare operativ och sedan återanvända för t.ex. fillagring för arkivering , backup server, Terminal Server Access o.s.v.). I sammahanget ska naturligvis även virualisering av serverparken nämnas och även här finns flera vägar att gå t.ex. VMWare eller Hyper-V eller Xenserver.

Det finns inget självändamål i att kasta hårdvara bara för den är lite till åren och avskriven men ändå fungerar. Ofta kan den hårdvaran räcka till att byga en egen, intern molntjänst om man är orolig för att flytta sitt data till en molnleverantör.

Det finns många olika vägar att gå och det gäller tänka igenom att det blir rätt för just er verksamhet.

Oavsett väg ni väljer kan jag hjälpa er planera och implementera. För mer information, kontakta mig här

Riktad lösenordsattack från Kina stoppad av Syspeace

Riktad lösenordsattack från Kina

konsult inom backup It säkerhet molntjänster återsartsplaner för IT lösenordsattack

Igår kväll började det plinga i min mail, inget ovanligt i sig eftersom jag övervakar och driftar ganska många servrar, men den här gången var det ett väldigt plingande under kort tid.

Det visar sig att några IP intervall från Kina hade bestämt sig för att utföra en större riktad lösenordsattack mot en server jag driftar i en molntjänst åt kund.

Anledningen till att jag skriver det här är just för att visa att det förekommer attacker precis hela tiden varav de flest är några enstaka försök medans andra är uppenbart riktade och någon verkligen vill ta sig in.
Oavsett storleken på attacken och hur många olika IP adresser hackern försöker döljsa sig bakom så blockeras det ändå effektivt och automatiskt av Syspeace.
Principen bakom Syspeace är enkel.

Om en IP adress misslyckas med att logga in X antal gånger under Y lång tid så blockeras den IP adress från all kommunikation under Z lång tid.

Som ett fail2ban for Windows eller denyhosts for Windows men med mer funktionalitet, stöd för fler detektorer och system och god rapportering o.s.v

Lösenordsattacker

De flesta attacker kommer onekligen från en specifik IP adress men även den här typen av större och uppenbart riktade attacker förekommer alltså också.
Man lever ofta i tron att små företag är ointressanta för hackers att försöka ta sig in i men tyvärr är det helt fel vilket jag tror att nedanstående logg från Syspeace visar väldigt tydligt.

De allra flesta intrångsförösk under gårdagen var alltså från just Kina , spridda över många olika IP adresser och intervall vilket tyder på en hacker med resurser och målmedvetenhet.
Utan Syspeace hade jag som tekniker / driftsansavrig inte haft en aning om att det ens pågick och än mindre något skydd mot det.
Att manuellt blockera varje enskild adress är såklart orimligt och att veta i förväg varifrån ett intrångsförösk kommer går ju sklart inte heller.

Utan effektivt skydd hade varje IP adress som attackerade kunnat gå igenom en hel ordboksattack och försökt gissa sig till ett användarnamn och lösenord dvs från ett hundratal IP adresser kunder det skickats iväg 10 000- 20 000 inlognningsförsök mot serven vilket i sin tur effektivt hade tagit väldigt mycket resurser i anspråk för servern (i näst värsta fall hade det lett till en Denial of Service) och naturligvis risken att de hade lyckats ta sig in.

Attacken upphörde för övrigt då jag antar de insåg det fanns en IDS på plats för att hantera det.

Rapport från Syspeace efter attacken

Nedan är rapprten som genererades av Syspeace.

Från: *******@*****.se
Datum:2015-07-10 00:05 (GMT+01:00)
Till: “******* @ *****” < *******@******.se>
Rubrik: Daily Syspeace report (*******.******.se, 2015-07-09)
Report for 2015-07-09

IP address Times Host name and country
——————– —– ——————————-
2.228.31.60 3 2-228-31-60.ip189.fastwebnet.it; Italy (IT)
42.123.80.142 2 ; China (CN)
62.20.107.114 1 ns.sdata.se; Sweden (SE)
62.141.41.74 1 VPS41074; Germany (DE)
118.254.24.29 1 ; China (CN)
118.254.24.41 1 ; China (CN)
118.254.24.44 1 ; China (CN)
118.254.24.87 1 ; China (CN)
118.254.24.96 1 ; China (CN)
118.254.24.97 1 ; China (CN)
118.254.24.120 1 ; China (CN)
118.254.24.125 1 ; China (CN)
118.254.24.129 1 ; China (CN)
118.254.24.141 1 ; China (CN)
118.254.24.142 1 ; China (CN)
118.254.24.144 1 ; China (CN)
118.254.24.149 1 ; China (CN)
118.254.24.151 1 ; China (CN)
118.254.24.153 1 ; China (CN)
118.254.24.154 1 ; China (CN)
118.254.24.155 1 ; China (CN)
118.254.24.158 1 ; China (CN)
118.254.25.58 1 ; China (CN)

189.129.205.108 1 dsl-189-129-205-108-dyn.prod-infinitum.com.mx; Mexico (MX)
190.146.121.6 5 dynamic-ip-1901461216.cable.net.co; Colombia (CO)
201.79.56.151 1 201-79-56-151.user.veloxzone.com.br; Brazil (BR)
203.117.252.43 1 ; Singapore (SG)
220.169.204.22 1 ; China (CN)
222.245.166.20 1 ; China (CN)
223.153.2.193 1 ; China (CN)
223.153.80.11 1 ; China (CN)
223.153.80.93 1 ; China (CN)
223.153.81.17 1 ; China (CN)
223.153.81.142 1 ; China (CN)
223.153.81.201 1 ; China (CN)
223.153.82.6 1 ; China (CN)
223.153.82.22 1 ; China (CN)
223.153.82.26 1 ; China (CN)
223.153.82.29 1 ; China (CN)
223.153.82.133 1 ; China (CN)
223.153.82.138 1 ; China (CN)
223.153.82.141 1 ; China (CN)
223.153.82.146 1 ; China (CN)
223.153.82.163 1 ; China (CN)
223.153.82.168 1 ; China (CN)
223.153.82.171 1 ; China (CN)
223.153.82.175 1 ; China (CN)
223.153.82.181 1 ; China (CN)
223.153.82.195 1 ; China (CN)
223.153.82.201 1 ; China (CN)
223.153.82.203 1 ; China (CN)
223.153.82.209 1 ; China (CN)
223.153.82.212 1 ; China (CN)
223.153.82.246 1 ; China (CN)
223.153.82.254 1 ; China (CN)
223.153.83.4 1 ; China (CN)
223.153.83.59 1 ; China (CN)
223.153.83.66 1 ; China (CN)
223.153.83.69 1 ; China (CN)
223.153.83.72 1 ; China (CN)
223.153.83.77 1 ; China (CN)
223.153.83.78 1 ; China (CN)
223.153.83.79 1 ; China (CN)
223.153.83.82 1 ; China (CN)
223.153.83.105 1 ; China (CN)
223.153.83.106 1 ; China (CN)
223.153.83.109 1 ; China (CN)
223.153.83.111 1 ; China (CN)
223.153.83.116 1 ; China (CN)
223.153.83.117 1 ; China (CN)
223.153.83.118 1 ; China (CN)
223.153.83.124 1 ; China (CN)
223.153.83.127 1 ; China (CN)
223.153.83.163 1 ; China (CN)
223.153.83.174 1 ; China (CN)
223.153.83.208 1 ; China (CN)
223.153.83.242 1 ; China (CN)

Hourly breakdown (blocks per hour)
00 x2
01 x1
02 x1
03
04 x2
05
06 x1
07 x1
08 x1
09
10
11 x1
12
13 x1
14
15
16 x1
17
18
19 x1
20 x1
21 x1
22 x69
23

Generated 2015-07-10 00:04:54 for machine *******.*******.se by Syspeace v2.5.2.0

Vill ni ha hjälp med att sätta upp ett effektivt intrångsskydd på era Windows servrar?, kontakta mig här

Syspeace rapport – Exchange Server attackerad över 400 gånger på några timmar

konsult inom backup It säkerhet molntjänster och infratruktur Att göra en server nåbar över Internet , oavsett vad den gör, kommer per automatik att att göra den till måltavla för olika typer av intrångsförsök.
Det finns många olika typer av intrångsförösk och även med olika syften. En del attacker handlar om att på ena eller andra sättet få kontroll över hårdvara som CPU, RAM, Disk för att användas i andra attacker. Andra attaker syftar till att stjäla data och en del försöker bara använda t.ex. en mail server för att gör s.k. realying d.v.s skicka SPAM meddelanden eller andra mail via en mailserver för att inte riskera att ens egen IP adress bli svartlistad. Här är en tidigare artikel jag skrev om olika typer av hacking attacker . OBS . På engelska.

Den här listan nedan är ett bra exempel på precis en sån attack som inträffade igår och är en automatisk genererad Syspeace rapport som kommer per mail till systemaadministratören.
Varje rad är alltså en Ip adress som försökte använda min mailserver till att skicka ut SPAM mail .
Samtliga attacker blockerades dock automatisk av Syspeace.
Notera gärna timmarna mellan kl 08 – 12 längre ner i sammanställningen på antalet attacker per timme.

Report for 2015-05-12

IP address Times Host name and country
——————– —– ——————————-
1.52.87.190 3 ; Vietnam (VN)
1.52.122.126 3 ; Vietnam (VN)
2.186.14.221 3 ; Iran, Islamic Republic of (IR)
2.189.154.42 3 ; Iran, Islamic Republic of (IR)
5.219.42.205 3 ; Iran, Islamic Republic of (IR)
5.223.24.99 3 ; Iran, Islamic Republic of (IR)
5.223.104.20 3 ; Iran, Islamic Republic of (IR)
5.251.38.50 2 ; Kazakhstan (KZ)
14.99.136.249 3 static-249.136.99.14-tataidc.co.in; India (IN)
14.161.37.108 3 mail.ttp.net.vn; Vietnam (VN)
14.169.155.10 3 ; Vietnam (VN)
14.169.222.5 3 ; Vietnam (VN)
14.177.134.252 2 ; Vietnam (VN)
27.3.128.183 3 ; Vietnam (VN)
27.77.34.63 3 ; Vietnam (VN)
27.77.135.131 3 ; Vietnam (VN)
27.77.144.136 2 ; Vietnam (VN)
27.79.105.254 3 ; Vietnam (VN)
27.105.42.42 3 27-105-42-42-adsl-khh.dynamic.so-net.net.tw; Taiwan (TW)
27.106.116.239 3 239.116.106.27-n4um-net4uindia.net; India (IN)
36.37.145.176 3 ; Cambodia (KH)
36.83.229.50 2 ; Indonesia (ID)
37.212.120.220 3 ; Belarus (BY)
37.215.118.21 3 ; Belarus (BY)
37.237.204.87 3 ; Iraq (IQ)
39.32.30.128 3 ; Pakistan (PK)
41.252.185.60 2 41.252.185.60.adsl.km4.dynamic.ltt.ly; Libya (LY)
41.254.2.208 3 41.254.2.208.zte-tip.wimax.dynamic.ltt.ly; Libya (LY)
41.254.9.101 2 ; Libya (LY)
46.99.147.11 3 ; Albania (AL)
46.100.132.7 3 ; Iran, Islamic Republic of (IR)
58.187.106.146 3 ; Vietnam (VN)
59.88.207.6 2 ; India (IN)
59.90.243.106 2 static.chennai.mp.59.90.243.106/21.bsnl.in; India (IN)
59.95.143.222 3 ; India (IN)
59.97.206.213 3 ; India (IN)
59.98.1.61 3 ; India (IN)
60.172.95.98 1 ; China (CN)
77.242.28.138 3 ; Albania (AL)
77.247.94.71 2 ; Albania (AL)
78.8.153.141 3 dynamic-78-8-153-141.ssp.dialog.net.pl; Poland (PL)
78.110.160.161 4 logistics1.openearth4.com; United Kingdom (GB)
78.152.183.58 2 ; Ukraine (UA)
79.106.12.167 3 ; Albania (AL)
79.129.40.59 2 scdental.static.otenet.gr; Greece (GR)
83.111.204.10 1 ; United Arab Emirates (AE)
85.96.192.37 3 85.96.192.37.static.ttnet.com.tr; Turkey (TR)
85.113.53.5 3 dynamicip-85-113-53-5.pppoe.samara.ertelecom.ru; Russian Federation (RU)
88.248.172.102 3 88.248.172.102.static.ttnet.com.tr; Turkey (TR)
92.55.100.130 3 ; Macedonia (MK)
93.74.5.218 3 ambassador.appraise.volia.net; Ukraine (UA)
93.91.194.24 3 ; Iraq (IQ)
93.117.11.244 3 ; Romania (RO)
94.178.105.94 3 94-105-178-94.pool.ukrtel.net; Ukraine (UA)
95.56.242.70 2 ; Kazakhstan (KZ)
95.188.132.199 2 ; Russian Federation (RU)
95.188.138.142 3 ; Russian Federation (RU)
103.14.251.218 3 218.loopback.sinet.com.kh; Cambodia (KH)
103.23.51.24 3 ; Mongolia (MN)
103.39.156.142 3 ; N/A (–)
103.247.239.55 3 ; Bangladesh (BD)
104.149.254.98 3 ; N/A (–)
108.13.189.113 1 static-108-13-189-113.lsanca.fios.verizon.net; United States (US)
109.66.42.117 3 bzq-109-66-42-117.red.bezeqint.net; Israel (IL)
109.188.125.10 3 client.yota.ru; Russian Federation (RU)
109.188.126.4 2 client.yota.ru; Russian Federation (RU)
113.160.225.43 3 static.vdc.vn; Vietnam (VN)
113.162.122.116 3 ; Vietnam (VN)
113.163.99.246 3 dynamic.vdc.vn; Vietnam (VN)
113.169.5.43 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.12.8 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.44.52 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.182.53.185 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.186.108.210 3 EUROPA.JUFCORP.COM; Vietnam (VN)
113.191.253.254 3 dynamic.vdc.vn; Vietnam (VN)
113.193.189.62 1 ; India (IN)
115.72.235.46 3 adsl.viettel.vn; Vietnam (VN)
115.85.46.82 3 82.46.85.115.dsl.service.eastern-tele.com; Philippines (PH)
115.97.81.229 2 ; India (IN)
115.118.237.21 3 115.118.237.21.static-mumbai.vsnl.net.in; India (IN)
115.248.39.17 3 ; India (IN)
116.106.42.185 3 ; Vietnam (VN)
116.111.6.136 3 ; Vietnam (VN)
116.111.65.141 3 ; Vietnam (VN)
116.111.110.135 3 ; Vietnam (VN)
116.111.202.214 3 ; Vietnam (VN)
116.118.39.241 1 ; Vietnam (VN)
116.202.34.111 3 ; India (IN)
117.6.209.45 3 ; Vietnam (VN)
117.192.221.94 2 ; India (IN)
117.196.150.228 3 ; India (IN)
117.197.98.6 1 ; India (IN)
117.197.103.89 2 ; India (IN)
117.200.120.8 2 ; India (IN)
117.206.187.240 2 ; India (IN)
117.206.190.40 3 ; India (IN)
117.207.48.68 2 ; India (IN)
117.217.112.199 3 ; India (IN)
117.217.132.132 3 ; India (IN)
117.220.153.136 2 ; India (IN)
117.222.68.125 2 ; India (IN)
117.223.117.142 3 ; India (IN)
117.242.204.189 2 ; India (IN)
118.71.185.84 3 ip-address-pool-xxx.fpt.vn; Vietnam (VN)
118.137.210.68 3 fm-dyn-118-137-210-68.fast.net.id; Indonesia (ID)
119.59.122.239 2 ; Thailand (TH)
120.60.134.142 3 triband-mum-120.60.134.142.mtnl.net.in; India (IN)
120.72.88.221 3 ; India (IN)
120.206.3.2 2 ; China (CN)
122.160.41.49 3 abts-north-static-049.41.160.122.airtelbroadband.in; India (IN)
122.161.169.72 2 abts-north-dynamic-072.169.161.122.airtelbroadband.in; India (IN)
122.169.71.69 2 abts-mum-dynamic-069.71.169.122.airtelbroadband.in; India (IN)
122.176.9.144 2 abts-north-static-144.9.176.122.airtelbroadband.in; India (IN)
123.20.208.52 3 ; Vietnam (VN)
123.23.107.243 2 ; Vietnam (VN)
123.23.119.68 3 ; Vietnam (VN)
123.26.33.67 3 EUROPA.JUFCORP.COM; Vietnam (VN)
124.248.189.95 3 fiber-189-95.online.com.kh; Cambodia (KH)
139.228.227.58 3 fm-dyn-139-228-227-58.fast.net.id; Indonesia (ID)
151.233.102.88 3 ; Iran, Islamic Republic of (IR)
159.224.41.1 3 1.41.224.159.triolan.net; Ukraine (UA)
171.224.128.102 3 ; Vietnam (VN)
171.224.192.59 3 ; Vietnam (VN)
171.249.123.136 2 ; Vietnam (VN)
178.90.76.90 3 178.90.76.90.megaline.telecom.kz; Kazakhstan (KZ)
178.91.64.52 3 178.91.64.52.megaline.telecom.kz; Kazakhstan (KZ)
178.91.90.125 3 178.91.90.125.megaline.telecom.kz; Kazakhstan (KZ)
178.122.98.193 2 mm-193-98-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
178.122.120.116 1 mm-116-120-122-178.brest.dynamic.pppoe.byfly.by; Belarus (BY)
179.24.79.20 3 r179-24-79-20.dialup.adsl.anteldata.net.uy; Uruguay (UY)
182.56.2.58 3 static-mum-182.56.2.58.mtnl.net.in; India (IN)
182.56.164.66 2 static-mum-182.56.164.66.mtnl.net.in; India (IN)
182.56.207.163 2 static-mum-182.56.207.163.mtnl.net.in; India (IN)
182.68.19.114 1 abts-north-dynamic-114.19.68.182.airtelbroadband.in; India (IN)
185.23.124.43 3 ; Saudi Arabia (SA)
188.121.117.89 3 ; Iran, Islamic Republic of (IR)
190.81.45.19 3 ; Peru (PE)
190.187.12.84 3 ; Peru (PE)
190.239.96.110 3 ; Peru (PE)
191.101.31.118 1 ; Chile (CL)
193.110.72.211 3 ; Ukraine (UA)
193.238.128.178 4 193.238.128.178.sta.211.ru; Russian Federation (RU)
194.158.210.210 3 ; Belarus (BY)
197.200.18.195 2 ; Algeria (DZ)
202.63.116.173 3 173-116-63-202.southernonline.net; India (IN)
203.189.159.71 3 ; Cambodia (KH)
211.99.28.17 2 ; China (CN)
212.34.12.182 3 ; Jordan (JO)
212.164.234.254 2 b-internet.212.164.234.254.nsk.rt.ru; Russian Federation (RU)
213.55.109.85 2 ; Ethiopia (ET)
213.55.115.35 4 ; Ethiopia (ET)
213.110.98.167 3 ; Ukraine (UA)
213.230.77.71 3 71.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.48 2 48.64.uzpak.uz; Uzbekistan (UZ)
213.230.82.223 3 223.64.uzpak.uz; Uzbekistan (UZ)
213.230.83.74 1 74.64.uzpak.uz; Uzbekistan (UZ)
217.12.116.218 3 static.217.12.116.218.tmg.md; Moldova, Republic of (MD)
217.146.251.100 3 207302.user.farlep.net; Ukraine (UA)
220.231.122.253 3 ; Vietnam (VN)
222.74.81.42 2 42.81.74.222.broad.wh.nm.dynamic.163data.com.cn; China (CN)
222.252.223.2 3 ; Vietnam (VN)

Hourly breakdown (blocks per hour)
00 x4
01
02 x2
03 x1
04 x2
05 x1
06
07 x1
08 x69
09 x64
10 x13
11 x252

12 x4
13 x1
14 x2
15
16 x2
17 x3
18
19
20 x2
21 x4
22
23

Generated 2015-05-13 00:04:01 for machine europa.jufcorp.com by Syspeace v2.5.2.0

För mer information om hur du kan skydda era servrar från ordboksattacker , kontakta mig här

Hur Syspeace blockerar lösenordsattacker mot Windows – video

Hur portblockering med Syspeace stoppar lösenordsattacker mot Windows

backup disaster recovey kontinuitetsplaner IT säkerhet molntjänster syspeace

Att hantera lösenordsattacker (även kända som ordboksatacker eller brute force attacks / dictionary attacks ) mot Windows är en komplicerad historia. I själva operativet finns väldigt lite skydd mot detta , se t.ex. den här artikeln för mer information kring problemet att hantera frågan.

En del prgramvaror och webtjänster har en inbyggd hantering mot lösenordsattacker men problemet är att de bara tar hand om den egna applikationen .
Ett exempel är t.ex. WordPress eller FileZilla FTP Server.
Till båda finns möjligheten att ställa in att en attack ska stoppas från att få försöka logga in under en viss tid mot just den egna applikationen.
De kan dock inte på något sätt stoppa trafik mot andra applikationer eller tjänster som är igång på samma server som t.ex. Exchange OWA webmail elelr Remote Desktop Services.

En hacker kommer märka han blev blockerad på t.ex. FileZila Server men han kan fortfarande föröska logga in mot andra tjänster som t.ex. Exchange OWA Webmail eftersom den ju är nåbar.
På det sättet kan alltså lösenordsattacken fortsätta mot andra tjänster på samma server. Det är bara just FileZilla som inte tillåter att den IP adressen försöker logga in.

Hur Syspeace hanterar hackerattacken

Syspaece hanterar lösenordsattacker annorlunda.När en applikation eller tjänst som skyddas av Syspeace blir attackerad så komnmer attacken att stoppas mot alla tjänster på samma server .
Det innebär alltså att om man har t.ex. en FTP server och Webmail på samma server så kommer en hacker att bli helt utelåst från all kommunikation. med den servern.Attacke  spåras, rapporteras till Syspeace Global Blacklist och mailas till systemadministratören med information om varfrån attacken skedde, när, vilket användarnamn som användes och hur länge den IP adressen kommer att vara låst.

Den här demon resulterade i det här mailet till mig som sysadmin.

syspeace alert mail

Ämne :Syspeace Alert from JUFCORP\EUROPA, IP 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] blocked until 2015-03-01 20:22:00

Blocked address 192.168.0.26 (juffe-hp.jufcorp.com) [Internal or reserved address] 2015-03-01 20:22:00 Rule used:
Type of block: Windows login
Rule name: Catch All Login
Trigger window: 5.00:00:00
Occurrences: 5
Lockout time: 02:00:00
Previous observations of this IP address:
2015-03-01 18:21:43 syspeacevideo
2015-03-01 18:21:40 syspeacevideo
2015-03-01 18:21:41 syspeacevideo
2015-03-01 18:21:38 syspeacevideo
2015-03-01 18:21:39 syspeacevideo

 

Hur Syspeace stoppar en hackeratattack

Den här videon är ett försök att visa hur det fungerar med Syspeace.

Det här är vad vi ser på skärmen:
Kontunierlig ping mot servern (högst upp till vänster)
Den lokala IP adressen (mitten)

De andra fönstren visar olika typer av inloggningar mot tjänster på den servern, i det här fallet FTP Server, SMTP på port 25, Webserver, Webmail.

Jag börjar med att visa att jag når alla tjänsterna normalt och får en inloggning normalt och kan visa websidor som är min hemsida hhttps://www.jufcorp.com/worpdress

Sedan startar jag medvetet en lösenordsattack med net use mot servern för att få Syspeace att hantera attacken.
När blockeringen träder i kraft så ser man hur ping slutar svara och jag når inte heller några av de andra tjänsterna jag nådde innan .
Jag som hacker är alltså helt utelåst från all kommunikation mot servern mot alla tjänster och det jag inte kan kommunicerra med kan jag inte helelr attackera.

Alla tjänster är dock fullt nåbara för alla andra så servern fungerar fortfarande precis som den ska mot kunder och anställda så de inte drababs av attacken som att få konton utelåsta eller tjänster som upphör fungera.
Jag försöer visa det genom att byta IP adress och nå tjänsterna igen vilket fngerar alldeles normalt igen

Se videon här

Kontakta mig för möte eller frågor om Syspeace