iT邦幫忙

0

[資安問題請教][公司電腦被入侵]

Hi 各位前輩:

主要狀況為:目前在公司工作時,時常會有重要郵件跳到垃圾桶,或是檔案被更改儲存位置甚至遭到刪除,甚至檔案被無預警關閉,一開始以為是自己誤動作,但偶然去windows 事件紀錄簿查詢log file,發現再出現異常狀況時候都會有如同網路文章中所註記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140),但是回頭查詢4624的網路登入資訊在那個時間點卻沒有 登入型別為10(遠端互動),實在難以找到對方IP,推測估計對方為公司同區域網路內人員,不知用什麼方式入侵我主機(ex:在D槽安裝後門程式 或是 C槽有隱藏帳戶?),已經換過密碼,也查詢過帳戶,沒有可以之處,不知前輩們是否可以給予建議,在電腦如何設定可以找到對方IP,或是推薦同業可以處理分析此問題的 單位 或 人員 或 網站,再麻煩IT前輩們幫忙,謝謝。(我這邊有windows 登入事件紀錄檔案,以及windows遠端讀寫事件紀錄檔案,
若是前輩需要可以來信給我,我再寄給前輩們,謝謝。(icuriousthisworld@gmail.com)

附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50,如下圖1),回頭對照附件2的4624登入紀錄(如下圖2),我也看不出所以然,還煩請幫忙分析,謝謝。https://ithelp.ithome.com.tw/upload/images/20200729/20128988s7MuWZKEWd.jpg

https://ithelp.ithome.com.tw/upload/images/20200729/20128988kEYwe97EsR.jpg

新手訓練期間不能回答接回覆在原文:

我也有注意到那是local host,但每次出現異常都會有這筆遠端讀寫紀錄,並且遠端讀寫紀錄有時一天有三四次,有時候一天一次,有時候整天沒有,這現象不和邏輯吧? 若是公司線上系統應該會規律定時定期出現才對。
(note:所有現象只要是斷開網路,都不會出現,連上後就會不定時出現,怎麼想都不合理)

我司IT為外包駐場人員,所以.....

2020/08/02(之後我會定期update,是否有新現象或是痕跡。 )
已經下過:
net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del

**確定共享都已關閉,並且按照CalvinKuo前輩關掉port :37-139 & 445 (在windows 防火牆設

定的,是勾選UDP)(ADW clean掃過也沒看到東西,另外VNC已經移除,teamviewer & anydesk,之後會再確認)但是仍發生資料夾被C D又被開啟共享?(關閉幾小時後發現檔案被關閉順便

去查詢,只有 C & D無IPC分享)**並且伴隨cmd視窗被關閉?

現象, (沒有IPC分享如何共享?) 這個現象是系統或是人為哪個可能性較高? 無論是系統或是

人為估計都是在區域網路發生,還是請前輩們建議,謝謝。

(note:所有現象只要是斷開網路,都不會出現,連上後就會不定時出現。)

另外想請教,似乎無法斷開網路(包含區域網路)之下設定密碼?頂多關掉proxy,但區網仍然是通

的之下設定密碼?有辦法所有網路都關掉之下設定密碼嗎?(擔心已經被木馬側錄?或改變的密碼直

接被網路傳出去給攻擊者?)

此外之後會安裝comodo firewall 來做嘗試(從PTT上面板友介紹),並且再加裝IP分享器試試

(公司區網中還有區域網路的概念?)以及msnman大所推薦:防火牆下,允許應用程式通過,將 檔

案及共用 取消勾選。


08/03一樣是發生,明明上午已經把(C & D & IPC & administor) 分享權限都關閉(用net

指令 ex:net share c$ /delete 依序D ,IPC & administor),但是過一小時後仍然開啟

而且只開啟(C &D)並伴隨5140遠端讀寫的window log ,感覺是人為,若是系統重啟or

server線上掃到重啟,會是(C & D & IPC & administor)都一起重新啟動且不會有遠端讀寫

紀錄,再請大家幫忙了,謝謝。(有可能被入侵亂搞log卻做得像是自己local host所做嗎?)

note:登入紀錄太多筆無發一一分析,但看起來都是我自己得帳號名稱或系統或是administor登入,理論上沒問題,但跟實際現象合不起來。

CalvinKuo iT邦大師 7 級 ‧ 2020-07-29 09:59:50 檢舉
1. 請遮掉你公司的網域(電腦)
2. 事件檢視器要取得完整資訊,檢查問題電腦的[本機安全性原則]→[本機原則]→[稽核原則],確定稽核登入事件、物件存取 (Log會很多喔)安全性設定是 成功 & 失敗。(若是加入網域,需修改群組原則)
3. 有先試著更新Windows與防毒軟體嗎? 你權限夠高,可以關閉預設分享,或使用防火牆關閉137-139 & 445阿...
我是覺得先用ADWCleaner之類的先掃掃看啦,沒找到再用工作管理員或process explorer之類的找異常軟體... (例如: VNC/AnyDesk)
ks1217 iT邦研究生 4 級 ‧ 2020-07-29 10:54:41 檢舉
Q1, 時常會有重要郵件跳到垃圾桶
A1, 如果您使用MS Outlook, 請把垃圾郵件功能關閉(垃圾郵件選項>不自動篩選)
因為Outlook不知道哪一封是重要郵件. 且他的自動篩選常誤判

Q2, 檔案被更改儲存位置甚至遭到刪除
A2, 恩...這點可能跟檔案總管的快速存取有關, 請把快速存取關閉, 檔案可能沒有不見, 只是被存到你認為該存放位置的其他地方.

Q3, 檔案被無預警關閉
A3. 如果是Excel檔案, 可能是因為Excel表內有不明的欄位導致的異常, 會自動關閉檔案沒錯. 盡可能的保持更新, 不管是 Windows Update或是 Office Update.

以上問題請洽貴公司IT部門, 可以得到更詳細的解釋
arsehole iT邦新手 5 級 ‧ 2020-08-06 10:31:24 檢舉
這類看起來就是電腦加入Domain
什麼網路磁碟機會自動連,GPO update上去
當然電腦是聽domain admin 的話,當然會開
個人覺得發文者要不要花錢請人去看
隔空抓藥,自己又不瞭解病情,還要人抓藥給你吃
要不要直接將
我的電腦→按右鍵→內容→檢視電腦的基本資訊→電腦名稱、網域及工作群組設定,看有沒有加入網域。
如果是加入網域,這就好笑了
4
raytracy
iT邦大神 1 級 ‧ 2020-07-28 22:48:47

它有來源位址啊, 你的第一張圖不是寫了:

來源位址                 ::1

不信, 你去那台電腦下這個指令試試看.....

 ping ::1 
看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2020-07-29 06:25:53 檢舉

雷大這個笑話我想他不會看懂啦。XD

/images/emoticon/emoticon21.gif

我來,我在,我入侵

這讓我想到, N年前有位mis利用dameware每天在偷看女同事MSN.

hon2006 iT邦大師 1 級 ‧ 2020-07-30 09:08:29 檢舉
0
浩瀚星空
iT邦超人 1 級 ‧ 2020-07-29 09:40:41

看到雷大說的,我突然笑出來。
還好還沒喝水。要不然一早就噴很不好。

基本上,先把你的想法全部忘掉吧。
找個會主機的人來幫你調整。
我只能說到此了。

0
chsinzk
iT邦新手 2 級 ‧ 2020-07-29 10:33:58

圖2 下面應該會有寫登入登入來源吧?

登入類別3

IP位置
電腦名稱
登入帳號

0
msnman
iT邦研究生 2 級 ‧ 2020-07-31 09:27:30

防火牆下,允許應用程式通過,將 檔案及共用 取消勾選。

0
kw6732
iT邦新手 5 級 ‧ 2020-08-02 21:58:37

怎麼看都是 本機作業 所留下來的紀錄,因為來源IP就是 本機 ,查一下有哪個自動執行或排程的軟體會造成吧。
垃圾信本來就很容易誤判,這跟入侵無關。

我要發表回答

立即登入回答