iT邦幫忙

0

被入侵?被嘗試暴力破解?該如何處置?(已請資安廠商協助解決)

最近小弟用OSSIM去建置資安事件管理,今天上午發現以下幾個警告,因為不確定是不是真的被入侵,也沒有處理的經驗。
想請各位前輩幫個忙,解讀一下有可能是什麼情況?如果真的要請廠商幫忙,我可以先怎麼處理?

https://upload.cc/i1/2021/07/20/c1d3s0.jpg
https://upload.cc/i1/2021/07/20/c1d3s0.jpg

https://upload.cc/i1/2021/07/20/wJIuhS.jpg
https://ithelp.ithome.com.tw/upload/images/20210720/20106763759trLAXKn.jpg

https://upload.cc/i1/2021/07/20/wHc04R.jpg
https://upload.cc/i1/2021/07/20/wHc04R.jpg

以上三個圖片的時間點,小弟有先調監視器,確認這個時間點沒有人在座位上…

後來資安廠商提供協助,排除是入侵事件…而是XP本身驗證問題…。

看更多先前的討論...收起先前的討論...
貼圖的字太小了....是否另外再找其他圖床,可以方便放大的.
snackshih iT邦新手 5 級 ‧ 2021-07-20 10:23:22 檢舉
不好意思…有再重放一次…。
打雜工 iT邦新手 2 級 ‧ 2021-07-21 20:55:46 檢舉
XP ? 建議是不是該換了
prnews iT邦新手 5 級 ‧ 2021-07-23 17:54:07 檢舉
XP應該已經停止更新了吧~ 不換早晚出問題
1
小湯
iT邦研究生 1 級 ‧ 2021-07-20 09:09:48

建議先請教一下,公司既有的設備廠商.
若有防火牆,就問防火牆廠商,或資安廠商。

若是內部攻擊 >
1.要盡快找到來源.
2.並將重要系統加強密碼.
3.切勿使用default password.

snackshih iT邦新手 5 級 ‧ 2021-07-20 09:26:49 檢舉

公司有防火牆,也有入侵偵測防禦,將打算問原廠,同時也想聽聽各位前輩們的意見與見解…,謝謝!

0
mathewkl
iT邦新手 1 級 ‧ 2021-07-20 18:06:56

攻擊來源?
只有該目標主機被針對?
被針對的途徑?
使用的是既有帳號還是亂猜?

我只看的到有一台主機被暴力測試
其他情報都~沒~有~

snackshih iT邦新手 5 級 ‧ 2021-07-20 21:12:01 檢舉

是的…因為小弟專業不足、經驗不足,不曉得問題應該怎麼問,該提什麼…,所以才會上來發問…,想藉此偷學前輩們的經驗…。

0
kyokk
iT邦新手 4 級 ‧ 2021-07-21 10:53:18

看你的登入類型是3參考一下https://docs.microsoft.com/zh-tw/windows/security/threat-protection/auditing/event-4625

如果要知道從那邊連,要開NETLOGON DEBUG來看,可以參考下面這連結
https://docs.microsoft.com/zh-tw/troubleshoot/windows-client/windows-security/enable-debug-logging-netlogon-service
4625 LOGON TYPE
登入類型 登入標題 描述
2 互動 使用者登入此電腦。
3 網路 從網路登入此電腦的使用者或電腦。

我要發表回答

立即登入回答