[問題] 電腦疑似遭到入侵

看板NetSecurity (資安 資訊安全)作者 (衝)時間1年前 (), 編輯推噓4(409)
留言13則, 5人參與, 11月前最新討論串1/2 (看更多)
Hi 各位前輩: 主要狀況為:目前在公司工作時,時常會有重要郵件跳到垃圾桶,或是檔案被更改儲存位 置甚至遭到刪除,甚至檔案被無預警關閉,一開始以為是自己誤動作,但偶然去 windows 事件紀錄簿查詢log file,發現再出現異常狀況時候都會有如同網路文章中所註 記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140),但是回頭查詢4624的網路 登入資訊在那個時間點卻沒有 登入型別為10(遠端互動),實在難以找到對方IP,推 測估計對方為公司同區域網路內人員,不知用什麼方式入侵我主機(ex:在D槽安裝後門程 式 或是 C槽有隱藏帳戶?),已經換過密碼,也查詢過帳戶,沒有可以之處,不知前輩 們是否可以給予建議,在電腦如何設定可以找到對方IP,或是推薦同業可以處理分析此問 題的 單位 或 人員 或網站,再麻煩IT前輩們幫忙,謝謝。(推文或是回信都可以) (我這邊有windows 登入事件紀錄檔案,以及windows遠端讀寫事件紀錄檔案, 若是前輩需要可以來信給我,我再寄給前輩們,謝謝。(icuriousthisworld@gmail.com) 附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50,如下圖1) (縮圖網址被判定為廣告,來信提供給您) 回頭對照附件2的4624登入紀錄(如下圖2),我也看不出所以然,還煩請幫忙分析,謝謝。 (縮圖網址被判定為廣告,來信提供給您) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.156.119 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1595945542.A.0D5.html

07/29 10:45, 11月前 , 1F
有請公司 IT 協助嗎? 還是這是公司外包請人看?
07/29 10:45, 1F

07/29 21:22, 11月前 , 2F
公司是外包駐場人員,他們只會要你重灌,但重灌後問題就
07/29 21:22, 2F

07/29 21:23, 11月前 , 3F
蓋過去了,而且也不知道目前備份資料是否已經被汙染,含
07/29 21:23, 3F

07/29 21:23, 11月前 , 4F
有後門程式,重灌後再灌入備份資料,若是以操汙染也沒用
07/29 21:23, 4F

07/29 21:24, 11月前 , 5F
所以才來版上請教各位先進,在煩請版友提供方法,系謝。
07/29 21:24, 5F

07/29 21:24, 11月前 , 6F
謝謝。
07/29 21:24, 6F

07/29 22:24, 11月前 , 7F
同時間我也有在下面網站提問
07/29 22:24, 7F

07/29 22:24, 11月前 , 8F

07/29 22:24, 11月前 , 9F
再請版有集思廣益了,謝謝
07/29 22:24, 9F

07/30 11:46, 11月前 , 10F
很多資安公司都可以做IR吧
07/30 11:46, 10F

07/31 03:15, 11月前 , 11F
寫個小程式每幾秒log備份在其他地方?
07/31 03:15, 11F

07/31 19:35, 11月前 , 12F
先把本機防火牆打開看還會不會發生啦
07/31 19:35, 12F

07/31 19:41, 11月前 , 13F
另外,下指令netstat -ano,截圖丟來看一下
07/31 19:41, 13F
文章代碼(AID): #1V83963L (NetSecurity)
討論串 (同標題文章)
文章代碼(AID): #1V83963L (NetSecurity)