公司有台重要的server被登入(使用一組admin group的密碼), 查看server登入log發現是一台沒人在使用的電視牆電腦(win7)的IP連過來...
1.查看firewall, 的確也查到這IP在特定時間點有連線, 但因為之前沒有設定要記錄MAC Address, 所以就也只能看到IP, 沒有其他幫助
2.查看電視牆電腦的事件檢示器, 在安全性中也沒有看到什麼異常的登入, 而且電腦牆電腦一直是開著, 如果有人操作, 大家都會看到
3.公司電腦都有安裝防毒軟體(officescan), 但也掃不到東西, 目前正在使用其他線上掃毒掃看看是否中木馬
4.重要的server登入操作必須要透過browser, 電視牆電腦有安裝vnc讓維護人員連線操作, 但就算遠端登入也應該無法操作都不被看到才是
目前不知要怎麼根除問題, 不知如何防範, 好像隨時都會再被駭
請問各位是否有類似的經驗? 謝謝
建議樓主警覺性高一點較好
對於重要Server的狀況需要謹慎
沒有什麼自己嚇自己的可能,要料敵從嚴
相關悲慘的故事就不說了
但很明顯貴公司並沒有做內網的隔離防護
也就是說,把Server跟PC分不同的網段
彼此之間的網路通訊至少要經過NGFW的資安檢核
不是只靠主機上的防護就好
資安檢核的LOG要天天看,資安並不是件輕鬆的工作
很多企業都沒這樣做(雖然違反ISO27001),原因各自不同
也有做了但是不開資安檢核(怕麻煩)
或時間一久沒有與時俱進時常更新與檢視資安情況
其結果常常下場都不甚好
因為根據各家資安公司統計
如樓主企業這樣滲透內部再慢慢拓展到攻陷主機
通常最少要3-6個月時間
期間如果有做上述工作
有非常大的機會在發生事故前就被阻止
因為現在的駭客會等到打下包括備份及備援機制
才會發動攻勢(如勒索軟體)
這樣駭客才會有實質收益(不然大家都會還原備份)
其實做好上述的防範工作並不難
顧好及正確使用企業的網路NGFW就好
順便回答以下幾點個人淺見
1.查看firewall, 的確也查到這IP在特定時間點有連線
防火牆如果是NGFW,為何沒有阻擋下威脅? 還是沒有開啟內容層的防護
雖然沒紀錄MAC,但LOG資料比對IP/時間是有意義的
2.查看電視牆電腦的事件檢示器, 在安全性中也沒有看到什麼異常的登入
其實入侵威脅發生在漏洞被突破之時,如果利用漏洞入侵,
估計不會有什麼紀錄的,自然要觀察應該從IPS的紀錄中找尋
3.公司電腦都有安裝防毒軟體(officescan)
應該沒有一家防毒軟體敢說自己是百分百
更何況入侵是一種行為模式,或是利用漏洞
不一定會有檔案潛伏其中,就算有也不易查出
4.重要的server登入操作必須要透過browser,
電視牆電腦有安裝vnc讓維護人員連線操作
這個看起來就很糟糕,因為RDP與VNC都已被揭露有漏洞
透過瀏覽器就更應做IPS掃描,免得被XSS或injection
5.要怎麼根除問題,不知如何防範
個人建議最重要的就是先做好分離區隔
利用NGFW檢核兩者間的通訊,每日檢查LOG
針對可疑網路行為及終端設備深入檢查
絕不要放任主機直接暴露在外網而無安全防護
特別是開放RDP,VNC,teamviewer等
最後要說資安是一項繁瑣且專業的工作
如果當初買防火牆的期待只是做路由器
那麼可就真的太浪費資源也太不安全了
我這麼說吧 台灣在維運的作法比較偏向放牛吃草
也就是說放著什麼都不要管不要動最好
所以久了會有什麼奇怪的事情也不用太意外
駭客也不需要到你面前操作吧 這也太low了
既然是電視牆設備 可以判斷出系統更新一定被關閉
長久沒有更新貪方便
防火牆也沒封鎖對外網路 導致有機會從外網下載病毒進來
如果只是要VNC 其他不必要的儘可能關閉
只是一個播片的需求不需要太多服務和網路
這就像個player而已
那也可以考慮斷網路直接去電腦操作
因為這種設備基本上就是沒人想管
既然電視牆電腦連進來會過防火牆
那就先給他擋掉看看會發生什麼事
有可能是電視牆端有跟 server 要資料
只是你自己以前都沒注意到,自己嚇自己
或是
真的被駭
這就考驗你的資安防護手法了
不管怎樣
先試著把 package 全部保存下來以便分析
題外話 要知道 MAC Address 幹嗎??