猜密碼行為

windows server

article 2018-01-22 14:46:19 ‧ 6339 瀏覽

最近從AD Log上看到大量疑似猜測密碼的行為(不是短時間大量)，IPS&WAF看不到東西(應該是早已進到內部環境)，以請系統人員協助修改管理員權限，防毒廠商也幫忙鑑識中。
請問各位還有什麼其他的建議呢?

魷魚 iT邦新手 1 級 ‧ 2018-01-22 15:19:24 檢舉

應該是中了蠕蟲，在做管理者密碼的暴力破解吧我猜@@"
專業的事情交給鑑識廠商處理，但可以藉此思考一下是哪塊系統漏洞造成這次的事件，以及未來要如何改善與更快發現事件等。
但還是等鑑識出來比較有討論空間~

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

mytiny

iT邦超人 1 級 ‧ 2018-01-23 00:59:44

貴公司網路架構是不是有什麼缺陷
怎麼可能連IPS及WAF都沒有任何紀錄而AD Log居然還看得出
況且不先把IPS與WAF廠商找來尋求技術支援
反而先去找防毒廠商來鑑識
是不是有點本末倒置

防毒廠商要是就只會建議做全面APT掃描
就算找出來中招的弱點，不把網路架構缺陷補齊
將來不就還是會再次發生資安事件
觀念上不將Server與client做資安分隔
進入Server的流量未經IPS或WAF檢核
當然就不會有任何可分析的Log
只怕這才是主要造成事件的原因吧

article iT邦新手 5 級 ‧ 2018-01-23 14:17:27 檢舉

這位先進說的沒錯，不過WAF&IPS是近日才加入的設備，我懷疑是在之前就已經中鏢了

article iT邦新手 5 級 ‧ 2018-01-23 14:19:30 檢舉

沒有log到外部IP，但已經先把一些非必要的對外原則關了

mytiny iT邦超人 1 級 ‧ 2018-01-24 10:30:15 檢舉

如果在AD及WSUS Server之前有IPS及WAF設備
是不可能沒有任何猜密碼行為的Log紀錄的
沒有外部進來的log也會有內部的log(特別是WAF)
這樣不用掃毒也可以知道入侵來源
就怕內網跟Server之間沒有資安檢核
建議務必跟設備廠商討論設定是否有疏漏

yesongow

iT邦大師 1 級 ‧ 2018-01-23 12:15:44

如果Log有記錄到內部PC的IP，就處理掉該PC呀！

如果Log有紀錄到外部IP，就調整防火牆規則，不准外部IP認證及登入呀！因為你多開了該Server的Port給外部存取！

article iT邦新手 5 級 ‧ 2018-01-23 14:19:53 檢舉

沒有log到外部IP，但已經先把一些非必要的對外原則關了

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

IT邦幫忙