iT邦幫忙

0

駭客入侵~~買新電腦可以解決嗎??如何完全杜絕駭客呢?

救命啊!!!
好朋友公司的電腦被駭客入侵了…
有一天他公司的電腦忽然被強制重開機
之後有時候鍵盤滑鼠都不能使用,但是游標會自己滑動~
某些軟體不能運行,系統也常常無法正常啟動,常常出現錯誤訊息
更慘的是硬碟上的數據遭惡意破壞跟刪除…
因為他們是小公司,所以沒有專業的網管人員…
現在的解決方法就是~換電腦!
沒錯,他老闆現在重新採購了3台桌上型電腦…
但這樣就能防止駭客了嗎??!!似乎有點太天真了,而且資本也太雄厚了…
不知道各位大大有沒有使用過什麼軟體可以防止駭客或是可以偵測駭客入侵??
因為他們老闆對待員工一直都很不錯~
有時候我去他們公司的時候,老闆對我也很友善~~
所以想說幫他問一下~~不要讓他再花冤妄錢了!!

看更多先前的討論...收起先前的討論...
蟹老闆 iT邦大師 1 級 ‧ 2011-05-31 18:50:25 檢舉
看到這個想到之前有位客戶老是說有人入侵他的電腦(重灌過)及手機還有電視(一般LCD電視,無特殊功能).....
電腦手機還有可能,電視被駭就....

您朋友怎麼會採換新電腦的方式來應對,我滿好奇的。
蟹老闆 iT邦大師 1 級 ‧ 2011-05-31 18:55:46 檢舉
我猜想是不是只是中毒或太久沒整理所以使用起來很不順,至於檔案不見很可疑只是應該不會用遠端桌面的方式來操作吧,不然一下也被發現,如果滑鼠是飄移的話或許是滑鼠壞了,以上純推測,最好還是請朋友找電腦公司看看診斷診斷
ehawk iT邦研究生 1 級 ‧ 2011-06-01 14:48:37 檢舉
庸人自擾之
2890sing提到:
但這樣就能防止駭客了嗎??!!似乎有點太天真了,而且資本也太雄厚了…

"駭客"這兩字到底是誰提出的
滑鼠游標滑動 便宜的紅外線鼠常常會吧
檔案消失 有看到確切證據是某人刪除嗎?
如果真是駭客 最基本的就是掩蓋自己的足跡不是嗎

如果只是很單純的"電腦壞了 買新的三台來替換"
這...沒問題吧汗
2890sing iT邦新手 5 級 ‧ 2011-06-10 11:21:21 檢舉
電視被駭客我是第一次聽到耶...哈哈
不過還好你的客戶不會想說被駭客就直接買新的換掉~~噎到
2890sing iT邦新手 5 級 ‧ 2011-06-10 11:23:25 檢舉
因為上次我問幾個朋友,告訴他們這樣的狀況後
他們都說有可能是被駭客了~
所以我才想說在這邊問看看可以怎麼樣防止駭客說...Orz
player iT邦大師 1 級 ‧ 2011-06-27 17:05:26 檢舉
防火牆+掃毒軟體+備份機制
缺1不可
6
pupupocky
iT邦新手 5 級 ‧ 2011-06-07 19:53:23
最佳解答

防火牆的設定是很重要的!!
可以試試使用Splunk系統監控軟體監控!!!
以下是Splunk的解決方案~~
駭客入侵 Windows 系統,會習慣性的清除所有的 Windows Event Log,往往沒有工具的支援,資安事件後管理人員只能花更大的功夫去找尋可能的原因。雖然我們可能無法第一時間知道駭客的入侵與行為,但最少我們可以當駭客習慣性清除 Event Log 時,經由 Splunk 通知瞭解,並儘速進行處理。

Windows 日誌清除資訊,Splunk Search 時間單位請調整至 Last 7 days
Windows 2000, XP and 2003 適用
Search 日誌清除關鍵字: "eventcode=517" AND security AND Success Audit
Windows Vista and 2008 適用
Search 日誌清除關鍵字: "eventcode=1102" AND security AND Success Audit

Windows 全系統版本適用
Search 日誌清除關鍵字: ("eventcode=1102" OR "eventcode=517") AND security AND Success Audit

結果說明:顯示最近 7 天內,搜尋目標的日誌清除狀態、頻率
延伸說明:基本為極大的風險問題,一般系統管理員不會主動清除 Event Log。如:駭客入侵、預期作業等。
處理動作:進行 Saved Search 並設定 Alert ,建議時間為 每小時(各位可以依照主機的敏感度與重要性進行時間的調整),使用RSS、Email 或 Shell script(建議警報聲或與 SMS Gateway 結合發送簡訊)方式通知管理人員。

延伸搜尋:如果要檢視所有目標主機的日誌清除狀態,並依照主機發生頻率,請使用以下搜尋關鍵字
Windows 2000, XP and 2003 適用
Search 日誌清除關鍵字: "eventcode=517" security Success Audit | timechart count(_raw) by host
Windows Vista and 2008 適用
Search 日誌清除關鍵字: "eventcode=1102" security Success Audit | timechart count(_raw) by host

Windows 全系統版本適用
Search 日誌清除關鍵字: ("eventcode=1102" OR "eventcode=517") security Success Audit | timechart count(_raw) by host

*請注意產出報表時的時間區間,如進行時間調整,請更新 [F5] 或 Splunk Web UI -> Refresh

管理分類:Security-資安事件管理
Dashboard 分類:Security
適用系統:Windows All OS

無法顯示原因:

  1. 請確認 Windows Event Log 有導入 Splunk
  2. 請確認有開啟稽核存取原則 開始->設定->控制台->系統管理工具->本機安全性原則->本機原則->稽核原則 內的設定

Saved Search 後,既可進入每日檢查點
---------------------------------------原始日誌---------------------------------------------

06/06/09 11:50:00 AM
LogName=Security
EventCode=593
EventType=8
Type=Success Audit
SourceName=Security
RecordNumber=517
Category=5
CategoryString=詳細追蹤

相關資訊可以參考Splunk討論區~~http://www.splunklab.net/index.php?board=7.0

2890sing iT邦新手 5 級 ‧ 2011-06-10 12:30:16 檢舉

Splunk好深奧...
看起來像是日誌監控的軟體~免費的嗎?
操作上會不會很困難呢??
可以有效監控駭客嗎?

2890sing iT邦新手 5 級 ‧ 2011-06-12 21:29:07 檢舉

感謝大大的建議,
這兩天放假沒是在家查了一下有關Splunk的資料~
因為這方面不是這麼了解,所以請另外一位朋友幫我看了一下,
目前已經下載試用了!
他說目前將一些log檔案導入splunk使用,在數據分析的部分真的還不錯!開心
除了未來可以使用Splunk這個軟體外,我也打算介紹一位IT工程師給老闆,
畢竟有個資訊人員在,未來可以維護公司的軟硬體設備也會比較方便~
不用再一直買新電腦了...謝謝

12
yyliu
iT邦研究生 2 級 ‧ 2011-05-31 13:40:22

如果網路的環境沒有做好規劃,再買新電腦還是會被駭.

例如許多小公司不買 IP 分享器,就將電腦串在 ATUR 小烏龜上,然後再每台電腦撥接...
不要小看 IP 分享器,雖然不是防火牆,對小公司沒有 IT 人員來說,夠了.

就是因為沒有 IT 人員,所以員工的電腦沒有密碼,什麼奇怪的軟體都有裝, MSN/Yahoo 不稀奇, 視窗搜尋工具列好幾個,再裝 PPS 看電視,奇怪的防毒防駭防木馬軟體可以裝好幾個.
搭 4GB 的記憶體的機器被用戶弄成烏龜機.

如果有以上的情況發生,花再多錢換高階電腦都沒有用. 因為不是電腦的問題,是"人"的問題.

2890sing iT邦新手 5 級 ‧ 2011-06-10 11:31:20 檢舉

所以大大是建議把員工換掉囉...呵呵

12
尼克
iT邦高手 1 級 ‧ 2011-05-31 15:57:19

換新電腦無法解決你的問題。
我認為需要

  1. OS Patch 即時更新
  2. 防毒軟體使用更新
  3. 每一個人都需要設定密碼複雜性
  4. 限制非法軟體及不適用之軟體更新
  5. 簡單的防火牆
  6. 自我管理
花輪 iT邦大師 1 級 ‧ 2011-05-31 21:38:57 檢舉

對一個小公司來說,USER絕對大反彈...
最好是...老闆一句話!
做不到就FIRE~

2890sing iT邦新手 5 級 ‧ 2011-06-10 11:33:02 檢舉

可是非法軟體的部分...指的是破解版的軟體對吧??
這個我就不敢確定說他們會不會花錢買正版軟體耶~"~

6
liurambo0911
iT邦高手 1 級 ‧ 2011-05-31 18:09:33

請先確認好到底來者是何人
能夠直接遙控並且刪除某些資料 想必是已經對貴公司了解透徹了
中駭客跟中毒一樣 "人"的因素最大
先有基本的防護 最後還是得看操作者的習慣

架個硬體防火牆看看唄

6
p12076
iT邦新手 4 級 ‧ 2011-05-31 20:37:23

沒有網管人員得從源頭下手,中華電信好像有協助小型企業的資安鑑隊,應該是有SOC或UTM代管服務。

2890sing iT邦新手 5 級 ‧ 2011-06-10 11:40:35 檢舉

但他們公司現在用的是台灣大的網路,有綁約了耶~倒

賽門 iT邦超人 1 級 ‧ 2011-06-10 11:44:46 檢舉

2890sing提到:
台灣大的網路

和台灣大的客服討論一下, 他們也有和中華電信資安艦隊類似的服務....只是沒問過要多少扣扣..

10
0820wuwu
iT邦新手 5 級 ‧ 2011-05-31 21:20:35

如果你的電腦被入侵過,那麼駭客一般會留下後門,所以先把後門封上,
在開始-搜尋,輸入cmd,在彈出的窗口中輸入net user,如果沒有陌生的用戶,
後門一定在guest裏,輸入net user guest /active:no,最後改一下administrator的口令,這樣至少駭客半天內進不來。
後面,的關鍵環節:去掉共用和禁用telnet

2890sing iT邦新手 5 級 ‧ 2011-06-10 11:42:00 檢舉

wuwu大大您說按照這樣的設定至少半天駭客進不來~
那有什麼方法可以讓他永遠進步來嗎??疑惑

鐵殼心 iT邦高手 1 級 ‧ 2011-06-10 12:45:50 檢舉

2890sing提到:
那有什麼方法可以讓他永遠進步來嗎?

網路線拔掉, 不准上網.筆記

鐵殼心 iT邦高手 1 級 ‧ 2011-06-10 12:45:57 檢舉

2890sing提到:
那有什麼方法可以讓他永遠進步來嗎?

網路線拔掉, 不准上網.筆記

6
davidliu9116
iT邦研究生 3 級 ‧ 2011-06-01 09:21:30

必殺絕招
把對外網路停掉...嘿嘿==+

開玩笑的
1.安裝正版的OS,並更新所有Patch,切記不要安裝破解版的
2.安裝最新版正版防毒軟體並更新最新病毒碼(不想花錢就用微軟的或是免費防毒),切記不要安裝破解版的
3.安裝正版Office軟體(不想用微軟的,還有OpenOffice...等等),切記不要安裝破解版的
4.與工作有關的軟體,一定要是正版,一定跟原廠或從原廠網站取得,切記不要安裝破解版的
5.其他與工作無關的軟體禁止安裝,一發現就記大過,滿三大過送家裡蹲.
6.禁止使用任何USB裝置(鍵盤滑鼠印表機除外).
P.S.切記不要安裝破解版的軟體,因為它會免費附贈後門及無限量木馬與病毒,而且會貼心的讓你零時差的與世界最新病毒與木馬同步

2890sing iT邦新手 5 級 ‧ 2011-06-10 11:44:01 檢舉

不可以安裝破解版的問題...可能會有難度耶驚

hungry12e iT邦新手 5 級 ‧ 2011-06-25 13:28:07 檢舉

可以把電腦分為:
1.上網專用
2.工作專用(不聯接上網)
如此可以減低駭客問題對正常工作的影響..

4
henrylee
iT邦新手 1 級 ‧ 2011-06-01 14:53:50

不清楚你的說3台PC的使用情況,初步分析

1.被強制重開機有一種可能性:Windows update OR 中毒
2.之後有時候鍵盤滑鼠都不能使用,但是游標會自己滑動:usb鍵盤滑鼠品質不良
3.某些軟體不能運行,系統也常常無法正常啟動,常常出現錯誤訊息:中毒了吧
4.硬碟上的數據遭惡意破壞跟刪除:電腦老舊磁區毀損
3&4有關係,若硬碟有問題,可能影響到程式無法正常讀取

另外應該是使用者操作問題,就算換了新的PC,使用者操作不當,就算有防火牆還是防不了,駭客是不會有興趣對個人或小公司去入侵的,不要以為電腦怪就怪自己被駭客,很多使用者會有這種迷失是錯誤的觀念.

買1台PC的錢一定夠請個IT來看一下評估改善的方法,沒有絕對的軟體可以解決問題;別把公司PC當家裡PC一樣,什麼都裝一定可以改善50%以上的問題

蟹老闆 iT邦大師 1 級 ‧ 2011-06-01 14:57:36 檢舉

henrylee提到:
別把公司PC當家裡PC一樣,什麼都裝一定可以改善50%以上的問題

+1

尼克 iT邦高手 1 級 ‧ 2011-06-01 15:02:09 檢舉

別把公司PC當家裡PC一樣,什麼都裝一定可以改善50%以上的問題

+1

2890sing iT邦新手 5 級 ‧ 2011-06-10 12:04:20 檢舉

一開始他們也認為是電腦中毒,
但是用小紅傘掃過之後,並沒有出現病毒顯示...囧
至於電腦老舊磁區損毀及滑鼠的問題~~
之前他們硬體安裝其他系統都沒有問題耶~

4
greenday425
iT邦新手 5 級 ‧ 2011-06-01 17:30:45

不知道是不是中木馬了,如果是木馬的話~買新電腦當然是有幫助拉~除非木馬又跑到新的電腦裡,這樣那位老闆又要買新電腦囉!!哈哈

4
ymjh60708
iT邦新手 5 級 ‧ 2011-06-07 22:21:46

基本上從簡便的部份開始做,
網路上常有的工具先利用,
個人習慣在GOOGLE先搜索免費掃毒,
用各種不同免費線上掃毒交叉掃過並把大部分的病毒排除。

線路硬體部分在來源端(ADSL)或是CABLE的地方加插一個IP分享器,
用硬體的NAT把網段分開,
不夠接的部份再用switch拉開就可以了。

電腦方面最好當然是每一機都要有基本的防毒軟體,
使用者多使用Windows系列軟體,
安裝後一定都要把update升級到最新版,
如果能加裝防火牆就是最好的的了,
無論是加裝硬體防火牆在來源端(網路對外 - 防火牆 - 使用者內部),
或是各個使用者本身都有軟體防火牆。

使用者習慣上不要看到有連結就點,
莫名來源的文件檔案也不要開,
能掃過的都先處理較好。

如此一來錢有花在刀口上,
而且效果也好多了。

2890sing iT邦新手 5 級 ‧ 2011-06-10 12:33:18 檢舉

有使用防毒軟體了,使用者習慣的部分~
發生過這樣的事情後,好像沒有人敢亂點連結了~倒

6
harrier7
iT邦研究生 2 級 ‧ 2011-06-09 15:40:07

和使用者的習慣有關;和電腦新舊關係不大(唯一有關的是 OS 的版本不能舊到連資安更新都沒有)。

2
charlislee
iT邦新手 5 級 ‧ 2011-06-10 14:15:13

更換電腦 無法解決問題
建議 先確認本身電腦系統是否中毒或木馬
如確定被駭 建議加裝Gateway端設備

2
ak4780158
iT邦研究生 5 級 ‧ 2011-06-12 15:08:28

還記得剛到公司時也聽過公司之前曾有被攻擊的經驗,也損失了相當多的資金,當初敝人提出的規劃是先從網路環境設備加強,首先找家系統整合商討論規劃一下公司的網段和防火牆等設備,也要請廠商對內部人員做個簡單的教育訓練,有廠商來建制、規劃、維護會比自己亂搞來得有效率,將來設備要維護也找得到人。

user端的電腦不外乎就是重新安裝系統和訂定資訊安全規劃,這方面公司也要有位對電腦比較了解的人來執行,之後要管理防火牆和查看系統Log也方便。

我要發表回答

立即登入回答