iT邦幫忙

0

接手Server,前人卻疑似在偷資料

  • 分享至 

  • xImage

如題,事情是這樣的,最近小弟公司接手了一間公司的業務,
有一台伺服器必須轉給我們管理,一陣子之後發現伺服器莫名出現.csv檔然後不斷的在產生而且檔案內容都是有關我們偵測到的環境數據...

偶很害怕,怕的我不敢拔插頭處置,故想請教前輩們可以朝哪些方向處理,例如:尋求第三方資安公司、建立資安規範之類的等...

再麻煩指教了,謝謝!

看更多先前的討論...收起先前的討論...
msit iT邦高手 1 級 ‧ 2018-09-03 16:25:05 檢舉
應該是先研究,是否該些環境數據的機台,是否有排程固定將log儲存到該台server
如果排除上述情況,再看log有沒有機密性問題,再進一步分析。
lard0921 iT邦新手 4 級 ‧ 2018-09-03 16:26:27 檢舉
前人偷資料(是已離開公司的嗎?) 這樣就是網管IT在管理的吧 沒確實關閉權限
**伺服器莫名出現.csv檔**
**然後不斷的在產生而且檔案內容都是有關我們偵測到的環境數據...**

照你字面上的意思 ,或許只是某些機器或設備(環控設備) 自動儲存LOG的功能
怎會說是偷資料呢??
hsiang11 iT邦好手 1 級 ‧ 2018-09-04 00:34:44 檢舉
我覺得也是LOG記錄檔
既然接手了公司的IT,為何沒有照著資安的規範
先將公司的所有帳密和金鑰換過,這是最基本的事情
如果沒辦法做到 找資安廠商也只是浪費錢而已
魷魚 iT邦新手 1 級 ‧ 2018-09-04 10:54:18 檢舉
你應該想到的是防火牆、權限控管等等的,絕對不應該是拔插頭這想法XDDDDD
CalvinKuo iT邦大師 7 級 ‧ 2018-09-05 09:36:24 檢舉
簡單說,移交時沒有任何文件...
貴公司的IT不幫忙,那只能找廠商來處理。
話說回來,這台主機要給業務管的 原因是... 如果日常維護+備份還原都有問題,那更不用說異常排除了。我會把這機器丟回給IT管,給我RDP連線帳號就好了...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1

資安鑑識 有專人在做
就谷哥搜尋關鍵字"資安鑑識"

3
rewrite
iT邦新手 2 級 ‧ 2018-09-04 09:41:52

合理的懷疑是好事,過度懷疑就妄想了

但別急著否定任何答案,做資安就是要保有懷疑的態度

已經有前輩把重點標註出來,不過我再標註一下

伺服器莫名出現.csv檔
且檔案內容都是有關我們偵測到的環境數據

首先你要先確認這檔案是由哪個排程產生的,排程的建立時間、建立者
有了來源後,再來就是目的

  1. 為何要建立此檔
  2. 此檔案可被存取範圍有哪些
    • 僅內部存取
    • 外部可存取
    • 是否有外寄或外連

以上是關於檔案的問題

但最根本的狀況是,只要有人離職,該人使用的任何可存取服務的帳密金鑰都要置換甚至是停用。

先做到防君子才能抓出哪些是小人。

0
CyberSerge
iT邦好手 1 級 ‧ 2018-09-12 13:24:28

可能要釐清是本身server有排程產生csv檔,還是別台server的排程定期產生檔案丟過來。

我要發表回答

立即登入回答