iT邦幫忙

0

猜密碼行為

最近從AD Log上看到大量疑似猜測密碼的行為(不是短時間大量),IPS&WAF看不到東西(應該是早已進到內部環境),以請系統人員協助修改管理員權限,防毒廠商也幫忙鑑識中。
請問各位還有什麼其他的建議呢?

魷魚 iT邦新手 1 級 ‧ 2018-01-22 15:19:24 檢舉
應該是中了蠕蟲,在做管理者密碼的暴力破解吧我猜@@"
專業的事情交給鑑識廠商處理,但可以藉此思考一下是哪塊系統漏洞造成這次的事件,以及未來要如何改善與更快發現事件等。
但還是等鑑識出來比較有討論空間~

2 個回答

0
mytiny
iT邦大師 2 級 ‧ 2018-01-23 00:59:44

貴公司網路架構是不是有什麼缺陷
怎麼可能連IPS及WAF都沒有任何紀錄而AD Log居然還看得出
況且不先把IPS與WAF廠商找來尋求技術支援
反而先去找防毒廠商來鑑識
是不是有點本末倒置

防毒廠商要是就只會建議做全面APT掃描
就算找出來中招的弱點,不把網路架構缺陷補齊
將來不就還是會再次發生資安事件
觀念上不將Server與client做資安分隔
進入Server的流量未經IPS或WAF檢核
當然就不會有任何可分析的Log
只怕這才是主要造成事件的原因吧

article iT邦新手 5 級 ‧ 2018-01-23 14:17:27 檢舉

這位先進說的沒錯,不過WAF&IPS是近日才加入的設備,我懷疑是在之前就已經中鏢了

article iT邦新手 5 級 ‧ 2018-01-23 14:19:30 檢舉

沒有log到外部IP,但已經先把一些非必要的對外原則關了

mytiny iT邦大師 2 級 ‧ 2018-01-24 10:30:15 檢舉

如果在AD及WSUS Server之前有IPS及WAF設備
是不可能沒有任何猜密碼行為的Log紀錄的
沒有外部進來的log也會有內部的log(特別是WAF)
這樣不用掃毒也可以知道入侵來源
就怕內網跟Server之間沒有資安檢核
建議務必跟設備廠商討論設定是否有疏漏

0
yesongow
iT邦大師 1 級 ‧ 2018-01-23 12:15:44

如果Log有記錄到內部PC的IP,就處理掉該PC呀!

如果Log有紀錄到外部IP,就調整防火牆規則,不准外部IP認證及登入呀!因為你多開了該Server的Port給外部存取!

article iT邦新手 5 級 ‧ 2018-01-23 14:19:53 檢舉

沒有log到外部IP,但已經先把一些非必要的對外原則關了

我要發表回答

立即登入回答