PDA

Bekijk Volledige Versie : Attacks



WeServIT
12/02/09, 16:28
Goedemiddag,

Ongeveer een half uur geleden kregen wij een melding dat er één windows server offline was, even later gingen alle windows servers offline. Later bleek het een soort van attack te zijn, nadat alle servers een windows update kregen was dit verholpen. Hebben hier al meer mensen last van gehad?

pierce
12/02/09, 16:36
Dan heb je:
1) Je windows machines niet achter een firewall staan
2) De windows firewall niet aan staan, of is niet goed geconfigureerd
3) Niet vaak genoeg windows updates gedraaid

En waarschijnlijk een combinatie hiervan.

Welke update was de oplossing? Ik gok MS08-067...

WeServIT
12/02/09, 16:42
De servers waren allemaal voorzien van een firewall, klanten zetten vaak automatische updates uit, waarschijnlijk was dat het probleem.

Dit was overigens de update: KB960715: Updatepakket voor ActiveX Killbits voor Windows

Hollanda
12/02/09, 22:46
Staat de boel niet op auto reboot na install van updates om 15 uur in de middag default?

Simple
12/02/09, 22:50
Inderdaad, want die Active Killbits update heeft weinig met netwerkbeveiliging te maken.

Arjen @ ARKOis
17/02/09, 13:04
KB960715 heeft inderdaad weinig met netwerkbeveiliging te maken en wanneer dit de enige update is die geherinstalleerd moest worden dan waren de servers dus wel up to date.

Zelf zal ik geen auto restart laten uitvoeren nadat updates geinstalleerd en al helemaal niet om 3 uur in de middag! De klant of beheerder dient op servers zelf de updates te installeren en daarbij aanwezig te zijn zodat hij tijdig kan ingrijpen mocht er iets verkeerd gaan.

Kan je ergens iets terugvinden waarop de servers offline zijn gegaan, was er een melding bij de eerste keer opstarten van de baklken?

Succes!

Webroy
17/02/09, 13:31
Werd je switch niet volgetrokken door 1 server waardoor steeds meer servers offline gingen..

Arjen @ ARKOis
17/02/09, 14:19
Werd je switch niet volgetrokken door 1 server waardoor steeds meer servers offline gingen..

Dit zal kunnen, maar er word gesproken over Windows servers en daardoor lijkt het erop dat er ook andere servers aanwezig zijn die wel bereikbaar waren.

Cybafish
17/02/09, 16:32
Ze gingen offline, d.w.z. ze zijn gereboot?

tim427
18/03/09, 21:43
Bookmarked!

Interessant topic! Ik ben namelijk beniewd hoe Server 2008 met bijv. de volgende situatie omgaat: Server 2008 staat DIRECT verbonden met internet (zonder tussenkomst van andere firewalls).. En de windows firewall staat goed geconfigureerd... En er komt een DDoS aanval. Hoe gaat Windows Server 2008 hier mee om?

DiedX
18/03/09, 22:54
Die gaat plat?

tim427
18/03/09, 22:58
Die gaat plat?

Flauw.... Maar heeft Windows Server 2008 niet een beveiliging?

DutchTSE
18/03/09, 23:51
Flauw.... Maar heeft Windows Server 2008 niet een beveiliging?

niet tegen het probleem dat jij beschrijft..

TCM
19/03/09, 01:01
Die gaat plat?


Correctie.. het hele netwerk waar hij op draait gaat plat ;)

tim427
19/03/09, 08:12
Correctie.. het hele netwerk waar hij op draait gaat plat ;)

Haha, maar als men een connections-limit instelt? 1000 connections per minuut max. bijv.? Zou dat het niet kunnen voorkomen?

En uiteraard staat er op dat moment alleen poort 80 een 443 open naar IIS toe..

Triloxigen
19/03/09, 09:31
Haha, maar als men een connections-limit instelt? 1000 connections per minuut max. bijv.? Zou dat het niet kunnen voorkomen?

En uiteraard staat er op dat moment alleen poort 80 een 443 open naar IIS toe..

Dan moet je op dat moment nog steeds al die verbindingen stoppen wat pas kan als het natuurlijk binnen is (de software bereikt heeft die het stopt).

En dat ze die aanval op poort 80 moeten doen snappen ze dan ook wel :p

mikeh
19/03/09, 09:44
DDoS uitleg van Steve Gibson (http://web.archive.org/web/20071128025801/http://www.grc.com/dos/drdos.htm)