作者icurious (冲)
看板NetSecurity
标题[问题] 电脑疑似遭到入侵
时间Tue Jul 28 22:12:20 2020
Hi 各位前辈:
主要状况为:目前在公司工作时,时常会有重要邮件跳到垃圾桶,或是档案被更改储存位
置甚至遭到删除,甚至档案被无预警关闭,一开始以为是自己误动作,但偶然去
windows 事件纪录簿查询log file,发现再出现异常状况时候都会有如同网路文章中所注
记: 远端读写C$, D$, E$..的事件(Security Event ID 5140),但是回头查询4624的网路
登入资讯在那个时间点却没有 登入型别为10(远端互动),实在难以找到对方IP,推
测估计对方为公司同区域网路内人员,不知用什麽方式入侵我主机(ex:在D槽安装後门程
式 或是 C槽有隐藏帐户?),已经换过密码,也查询过帐户,没有可以之处,不知前辈
们是否可以给予建议,在电脑如何设定可以找到对方IP,或是推荐同业可以处理分析此问
题的 单位 或 人员 或网站,再麻烦IT前辈们帮忙,谢谢。(推文或是回信都可以)
(我这边有windows 登入事件纪录档案,以及windows远端读写事件纪录档案,
若是前辈需要可以来信给我,我再寄给前辈们,谢谢。(
[email protected])
附件1为今日(7/28)下午远端读取纪录(约在下午4:50,如下图1)
(缩图网址被判定为广告,来信提供给您)
回头对照附件2的4624登入纪录(如下图2),我也看不出所以然,还烦请帮忙分析,谢谢。
(缩图网址被判定为广告,来信提供给您)
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.192.156.119 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1595945542.A.0D5.html
1F:→ CMJ0121: 有请公司 IT 协助吗? 还是这是公司外包请人看? 07/29 10:45
2F:→ icurious: 公司是外包驻场人员,他们只会要你重灌,但重灌後问题就 07/29 21:22
3F:→ icurious: 盖过去了,而且也不知道目前备份资料是否已经被污染,含 07/29 21:23
4F:→ icurious: 有後门程式,重灌後再灌入备份资料,若是以操污染也没用 07/29 21:23
5F:→ icurious: 所以才来版上请教各位先进,在烦请版友提供方法,系谢。 07/29 21:24
6F:→ icurious: 谢谢。 07/29 21:24
7F:→ icurious: 同时间我也有在下面网站提问 07/29 22:24
9F:→ icurious: 再请版有集思广益了,谢谢 07/29 22:24
10F:推 b0920075: 很多资安公司都可以做IR吧 07/30 11:46
11F:推 nini200: 写个小程式每几秒log备份在其他地方? 07/31 03:15
12F:推 winters920: 先把本机防火墙打开看还会不会发生啦 07/31 19:35
13F:推 winters920: 另外,下指令netstat -ano,截图丢来看一下 07/31 19:41