aashape
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравия желаю, товарищи! Перейду сразу к делу:
есть сервак SRV на Windows 2012 R2, все обновления установлены, сервак в домене DOMAIN, на контроллере домена политика для этого сервера, что на него могут входить только члены группы Администраторы и локальные администраторы. RDP порт 3389, но наружу проброшен как 10000.
Работает, можно вводить всякие доменные учетки, не пустит ни под кем, кроме локального администратора или администратора домена.
И тут появляется локальная учетка asp.net в группе Администраторы. У неё в загрузках RDP Recognizer 2.2.zip, Utilman.1.exe и всякие файлы с результатами сканирования, т.е. сервер используется для сканирования других серверов.
Отключаю эту учетку. Вскоре появляется asp.net2, там на рабочем столе zip файл с картинками - результатами сканирования удачно взломанных rdp в интернете и папка fuele, где лежит conhost.exe, ip.txt с большим списом ip и папка Result с 50000 картинками - логон скринами удачно найденных/взломанных rdp.
Отключаю, наблюдаю, через минуту меня вышибает - подключился asp.net3.
Смотрю в журнал безопасности, вижу вход под учёткой DOMAIN\SRV$, из-под которой и создавались все эти asp.net учетки. Отключил проброс порта, думаю теперь, что это за дыра такая. Я сталкивался с брутфорсом паролей rdp, а вот с заходом под учеткой КОМПЬЮТЕР$ не сталкивался, мыслей пока нет. |
