iT邦幫忙

0

公司內部server疑似被駭

公司有台重要的server被登入(使用一組admin group的密碼), 查看server登入log發現是一台沒人在使用的電視牆電腦(win7)的IP連過來...
1.查看firewall, 的確也查到這IP在特定時間點有連線, 但因為之前沒有設定要記錄MAC Address, 所以就也只能看到IP, 沒有其他幫助
2.查看電視牆電腦的事件檢示器, 在安全性中也沒有看到什麼異常的登入, 而且電腦牆電腦一直是開著, 如果有人操作, 大家都會看到
3.公司電腦都有安裝防毒軟體(officescan), 但也掃不到東西, 目前正在使用其他線上掃毒掃看看是否中木馬
4.重要的server登入操作必須要透過browser, 電視牆電腦有安裝vnc讓維護人員連線操作, 但就算遠端登入也應該無法操作都不被看到才是

目前不知要怎麼根除問題, 不知如何防範, 好像隨時都會再被駭
請問各位是否有類似的經驗? 謝謝

4
mytiny
iT邦大師 1 級 ‧ 2019-11-05 01:26:28
最佳解答

建議樓主警覺性高一點較好
對於重要Server的狀況需要謹慎
沒有什麼自己嚇自己的可能,要料敵從嚴

相關悲慘的故事就不說了
但很明顯貴公司並沒有做內網的隔離防護
也就是說,把Server跟PC分不同的網段
彼此之間的網路通訊至少要經過NGFW的資安檢核
不是只靠主機上的防護就好
資安檢核的LOG要天天看,資安並不是件輕鬆的工作

很多企業都沒這樣做(雖然違反ISO27001),原因各自不同
也有做了但是不開資安檢核(怕麻煩)
或時間一久沒有與時俱進時常更新與檢視資安情況
其結果常常下場都不甚好
因為根據各家資安公司統計
如樓主企業這樣滲透內部再慢慢拓展到攻陷主機
通常最少要3-6個月時間
期間如果有做上述工作
有非常大的機會在發生事故前就被阻止
因為現在的駭客會等到打下包括備份及備援機制
才會發動攻勢(如勒索軟體)
這樣駭客才會有實質收益(不然大家都會還原備份)

其實做好上述的防範工作並不難
顧好及正確使用企業的網路NGFW就好
順便回答以下幾點個人淺見

1.查看firewall, 的確也查到這IP在特定時間點有連線
防火牆如果是NGFW,為何沒有阻擋下威脅? 還是沒有開啟內容層的防護
雖然沒紀錄MAC,但LOG資料比對IP/時間是有意義的

2.查看電視牆電腦的事件檢示器, 在安全性中也沒有看到什麼異常的登入
其實入侵威脅發生在漏洞被突破之時,如果利用漏洞入侵,
估計不會有什麼紀錄的,自然要觀察應該從IPS的紀錄中找尋

3.公司電腦都有安裝防毒軟體(officescan)
應該沒有一家防毒軟體敢說自己是百分百
更何況入侵是一種行為模式,或是利用漏洞
不一定會有檔案潛伏其中,就算有也不易查出

4.重要的server登入操作必須要透過browser,
電視牆電腦有安裝vnc讓維護人員連線操作

這個看起來就很糟糕,因為RDP與VNC都已被揭露有漏洞
透過瀏覽器就更應做IPS掃描,免得被XSS或injection

5.要怎麼根除問題,不知如何防範
個人建議最重要的就是先做好分離區隔
利用NGFW檢核兩者間的通訊,每日檢查LOG
針對可疑網路行為及終端設備深入檢查
絕不要放任主機直接暴露在外網而無安全防護
特別是開放RDP,VNC,teamviewer等

最後要說資安是一項繁瑣且專業的工作
如果當初買防火牆的期待只是做路由器
那麼可就真的太浪費資源也太不安全了

0
hsiang11
iT邦研究生 2 級 ‧ 2019-11-04 22:09:58

我這麼說吧 台灣在維運的作法比較偏向放牛吃草
也就是說放著什麼都不要管不要動最好
所以久了會有什麼奇怪的事情也不用太意外
駭客也不需要到你面前操作吧 這也太low了

既然是電視牆設備 可以判斷出系統更新一定被關閉
長久沒有更新貪方便
防火牆也沒封鎖對外網路 導致有機會從外網下載病毒進來
如果只是要VNC 其他不必要的儘可能關閉
只是一個播片的需求不需要太多服務和網路
這就像個player而已

那也可以考慮斷網路直接去電腦操作
因為這種設備基本上就是沒人想管

hsiang11 iT邦研究生 2 級 ‧ 2019-11-04 22:12:32 檢舉

另外一點 自己人嚇自己人也有可能
只有IT知道server的帳密就從身邊問起

hsiang11 iT邦研究生 2 級 ‧ 2019-11-04 22:17:32 檢舉

還有一種做法 播片的話改用隨身碟插支援的數位電視
但是這有可能牽涉電視老舊不支援隨身碟播放
又不可能汰換

froce iT邦大師 4 級 ‧ 2019-11-04 22:47:24 檢舉

電視牆這種東西幹嘛要連網...
廠商軟體也是買的,維修他們會修的也是硬體,放vnc給他們連...也只能說真的被駭也是活該。

0
補覺鳴詩
iT邦新手 1 級 ‧ 2019-11-05 00:01:47

既然電視牆電腦連進來會過防火牆
那就先給他擋掉看看會發生什麼事

有可能是電視牆端有跟 server 要資料
只是你自己以前都沒注意到,自己嚇自己

或是
真的被駭
這就考驗你的資安防護手法了

不管怎樣
先試著把 package 全部保存下來以便分析

題外話 要知道 MAC Address 幹嗎??

harrytsai iT邦新手 5 級 ‧ 2019-11-05 13:30:40 檢舉

我之前的公司在做電視的,電視後台都有埋程式在裡面,會做一些收集資料,還有丟資料過去的工作

我要發表回答

立即登入回答