接手Server,前人卻疑似在偷資料

伺服器資安

he00915332 2018-09-03 16:15:58 ‧ 3537 瀏覽

分享至

如題，事情是這樣的，最近小弟公司接手了一間公司的業務，
有一台伺服器必須轉給我們管理，一陣子之後發現伺服器莫名出現.csv檔然後不斷的在產生而且檔案內容都是有關我們偵測到的環境數據...

偶很害怕，怕的我不敢拔插頭處置，故想請教前輩們可以朝哪些方向處理，例如:尋求第三方資安公司、建立資安規範之類的等...

再麻煩指教了，謝謝!

看更多先前的討論...收起先前的討論...

msit iT邦高手 1 級 ‧ 2018-09-03 16:25:05 檢舉

應該是先研究，是否該些環境數據的機台，是否有排程固定將log儲存到該台server
如果排除上述情況，再看log有沒有機密性問題，再進一步分析。

lard0921 iT邦新手 4 級 ‧ 2018-09-03 16:26:27 檢舉

前人偷資料(是已離開公司的嗎?) 這樣就是網管IT在管理的吧沒確實關閉權限

竹本立里 iT邦好手 1 級 ‧ 2018-09-03 17:21:29 檢舉

**伺服器莫名出現.csv檔**
**然後不斷的在產生而且檔案內容都是有關我們偵測到的環境數據...**

照你字面上的意思 ,或許只是某些機器或設備(環控設備) 自動儲存LOG的功能
怎會說是偷資料呢??

hsiang11 iT邦好手 1 級 ‧ 2018-09-04 00:34:44 檢舉

我覺得也是LOG記錄檔
既然接手了公司的IT，為何沒有照著資安的規範
先將公司的所有帳密和金鑰換過，這是最基本的事情
如果沒辦法做到找資安廠商也只是浪費錢而已

魷魚 iT邦新手 1 級 ‧ 2018-09-04 10:54:18 檢舉

你應該想到的是防火牆、權限控管等等的，絕對不應該是拔插頭這想法XDDDDD

CalvinKuo iT邦大師 7 級 ‧ 2018-09-05 09:36:24 檢舉

簡單說，移交時沒有任何文件...
貴公司的IT不幫忙，那只能找廠商來處理。
話說回來，這台主機要給業務管的原因是... 如果日常維護+備份還原都有問題，那更不用說異常排除了。我會把這機器丟回給IT管，給我RDP連線帳號就好了...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

林門神JanusLin

iT邦超人 1 級 ‧ 2018-09-03 16:27:46

資安鑑識有專人在做
就谷哥搜尋關鍵字"資安鑑識"

回應
分享
檢舉

登入發表回應

rewrite

iT邦新手 3 級 ‧ 2018-09-04 09:41:52

合理的懷疑是好事，過度懷疑就妄想了

但別急著否定任何答案，做資安就是要保有懷疑的態度

已經有前輩把重點標註出來，不過我再標註一下

伺服器莫名出現.csv檔
且檔案內容都是有關我們偵測到的環境數據

首先你要先確認這檔案是由哪個排程產生的，排程的建立時間、建立者
有了來源後，再來就是目的

為何要建立此檔
此檔案可被存取範圍有哪些
- 僅內部存取
- 外部可存取
- 是否有外寄或外連

以上是關於檔案的問題

但最根本的狀況是，只要有人離職，該人使用的任何可存取服務的帳密、金鑰都要置換甚至是停用。

先做到防君子才能抓出哪些是小人。

回應
分享
檢舉

登入發表回應

CyberSerge

iT邦好手 1 級 ‧ 2018-09-12 13:24:28

可能要釐清是本身server有排程產生csv檔，還是別台server的排程定期產生檔案丟過來。

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙