应急响应是信息安全工作中重要的一环,但有时也会因为客户对“黑客”攻击的“恐惧”心理,从而产生很多啼笑皆非的应急响应事件。
2020年某日,我方接到某单位 *** 安全负责人反馈,该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器,事出紧急,现场工作人员怀疑该服务器账号密码被黑客更改,需要我方技术团队进行现场支持。
经过60分钟后到达客户现场,再次与 *** 安全负责人确认情况,得到信息与 *** 沟通内容一致。立刻进入机房进行现场分析,首先对该机器进行物理断网和密码重置,随后使用安全工具对系统进行入侵排查和病毒木马检测,以下为机房现场情况:
(我在这里露个脚(。?_?。)?I’m sorry~)
对该机器进行物理断网后,进入BIOS,设置从U盘启动:
进入pe对系统密码进行更改处理,主机登录成功,并对系统存在账户进行排查未发现可疑账户:
3.对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查:
3.排查定时任务,并且跟现场工作人员核对,未发现其他非工作人员创建的定时任务
4.排查系统防火墙,日志审核策略及日志留存情况,并将日志做导出备份处理:
5.跟主机安全负责人、 *** 负责人及该主机使用方做相关询问得出以下信息:
设备IP:172.xx.xx.xx/24
设备网关:172.xx.xx.1
系统管理及使用方登录方式:连接vpn后使用windows远程桌面连接
系统使用方登录时间:2020年8月6日18:30—19:00
主机管理方登录时间:2020年8月7日8:30—9:00
计划任务:使用方自己的正常业务
系统使用方最后一次登录时间:3个月前
1.基于该主机自身情况进行分析
(1)调查该主机自身感染病毒木马情况:人工分析未发现系统感染恶意病毒木马特征,无可疑账户、克隆账户、可疑计划任务,未发现入侵现象。
(2)系统日志分析情况:对近期系统登录成功与失败日志进行排查,如下图所示:
(3)使用logparse进行日志分析:
8月7日8:30-9:00间多次登录失败,并非攻击者更改密码所致,实际为登录用户名输入错误所致(正确用户名为administrator用户使用用户名为Lenovo,推测为用户远程登录时未修改登录默认用户名信息,导致用户名为个人pc用户名)。根据日志该系统最后一次远程桌面登录为2020年5月6日,与系统使用方描述一致。
黑客免费帮忙找微信号相关问题 怎么从0开始学黑客软件相关问题 gta5线下黑客怎么培养 黑客最钟情的笔记本(黑客专用笔记本)...
本文目录一览: 1、电脑被黑客远程控制了 怎么办 2、我电脑被黑客远程控制了,怎么办?急急急 3、黑客传全利用什么实现对别人计算机的远程控制 电脑被黑客远程控制了 怎么办 安装杀软就是,或者...
国度电网24小时客户处事热线:95598 地点几多:北京市西城区西长安街86号 网址: 国度电网公司创立于2002年12月29日,是经国务院同意举办国度授权几多。 ()()电力处事热线是...
有没有收费便宜的黑客(有没有关于黑客的电影)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客...
圣诞节是西方国家非常隆重的节日,在中国也是非常热闹的。大家要记得给女朋友送礼物,那么圣诞节送女生什么礼物合适?圣诞节送什么礼物给女朋友最实用? 圣诞节送女生什么礼物 狮子座女生 礼物推荐:限...
环境类别怎么划分(污染环境有哪些环境污染的分类是怎样的)污染环境:大气污染、土壤污染、水体污染等。 环境污染的分类: 一、按环境要素分 : 大气污染、土壤污染、水体污染。 二、按属性...