iT邦幫忙

2

來自FortiGate 60F的event, 請問這代表我的電腦被入侵了嗎?

  • 分享至 

  • xImage

各位專家,
稍早我收到FortiGate 60F的通知,
說有一筆admin login failed,

https://ithelp.ithome.com.tw/upload/images/20240527/20106587HkR4VWnjZJ.jpg

然後我登入60F查看詳細資訊,

https://ithelp.ithome.com.tw/upload/images/20240527/20106587NnZlXvyYzx.jpg

我想請教一下,
因為這看起來似乎是有人想連進60F console,
然後我的電腦有接USB to RJ45 console cable到60F上,
那是否表示我的電腦其實已經被入侵,
以至於有人想嘗試透過我的電腦去login 60F?
還好我有設定FortiToken,
對方是無法login進去的.

有可能已經被入侵,因為有入侵紀錄表示真的有人入侵,但如果他TRY成功了呢 ?
只要TRY成功都不會有紀錄,你還要查對方的足跡,查對方成功之後的行為
我是不知道樓主哪來的信心敢開放設備給外面存取,我都是直接原則阻擋
要存取,至少要VPN進來再說
lasthero iT邦新手 5 級 ‧ 2024-05-27 10:45:29 檢舉
這部分我還要研究如何設定阻擋外部存取,感謝提醒!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
mytiny
iT邦超人 1 級 ‧ 2024-05-27 10:17:13
最佳解答

防火牆被嘗試try密碼暴力破解登入
是很常見的現象
由source可發現通常是外部惡意行為
雖然很不容易杜絕這種惡意行為
但只要Fortigate常保持更新最新版
加上樓主的MFA
通常可降低資安風險

不過近年資安出狀況
絕大多數來自於內部網路
如果樓主確認帳號是自己的
本身電腦又沒有什麼自動連線程式運作
那就非常有可能被入侵植入後門

此時最好能申請EDR來監控一下process運作
在建置零信任網路ZTNA之初
是需要先做資產盤點以釐清敵我
否則只靠後續log等SIEM來示警處理
會搞到人仰馬翻

看更多先前的回應...收起先前的回應...
lasthero iT邦新手 5 級 ‧ 2024-05-27 10:47:16 檢舉

那個嘗試登入的帳號名稱並非是我的,所以我無法確定那個帳號名稱是哪來的。

lasthero iT邦新手 5 級 ‧ 2024-05-27 10:50:42 檢舉

目前看起來應該是我的電腦被入侵,然後透過電腦要嘗試連接60F,我的電腦也是透過60F聯網,換句話說,有人已經突破我的60F入侵到我的電腦,不知這樣說是否正確?難怪我電腦長期畫面有時候會有雜訊,之前也有在這邊發文詢問是否中毒了,現在看起來應該是中毒被植入後門,我再找時間重裝OS好了。

lasthero iT邦新手 5 級 ‧ 2024-05-27 17:36:00 檢舉

目前增加了一條policy阻擋所有外部對內的access,
不知道是否有幫助.

https://ithelp.ithome.com.tw/upload/images/20240527/20106587mPhov6UKnX.jpg

mytiny iT邦超人 1 級 ‧ 2024-05-27 19:01:45 檢舉

有人已經突破我的60F入侵到我的電腦,不知這樣說是否正確?

不正確,不是NGFW被突破

樓主可以先試試看EICAR(網頁最底下有測試檔)
如果都可以成功下載病毒測試檔
表示NGFW防火牆設定不夠完整
(更何況依據截圖樓主也沒有UTM防護機制)
如果都會因開網頁不知會下了什麼下來
會中招也是理所當然

至於嘗試登入的帳號,則是很有意思
可以作為思考題

  1. 入侵者為什麼用這個帳號
  2. 這個帳號是哪裡弄來的
  3. 如果是字典攻擊為什麼try一次就停了
lasthero iT邦新手 5 級 ‧ 2024-05-28 08:34:45 檢舉

我的設定完全依照官方Youtube教學影片設定的,
官方也有提到EICAR而我也有嘗試過的確可以阻擋,
我也有UTM防護機制開啟.

入侵者的帳號名稱看起來有點奇怪:
":0103000D0003EC"
這看起來有點類似serial number那種,
一般人不太可能用這種做帳號名稱吧,
那入侵者更應該不太可能用這種序號類的去做帳號嘗試入侵?
猜測應該不是字典攻擊不然不會只有一筆.

mytiny iT邦超人 1 級 ‧ 2024-05-28 10:38:07 檢舉

抱歉!可能是因為圖真的太小所以看不清
有機會可以利用應用程式管理看看
有沒有tunnel程式的蹤跡
不過那條外到內的policy應該沒啥作用
不開那條外對內一樣不能進來

按以往實際處理的經驗
嘗試登入一開始必定會試admin這個帳號
所以這個惡意行為必定是有某種把握
也許攻擊者以為樓主所在是工作環境?
筆電在其他環境有使用過嗎?

我要發表回答

立即登入回答