[問題] 電腦疑似遭到入侵
Hi 各位前輩:
主要狀況為:目前在公司工作時,時常會有重要郵件跳到垃圾桶,或是檔案被更改儲存位
置甚至遭到刪除,甚至檔案被無預警關閉,一開始以為是自己誤動作,但偶然去
windows 事件紀錄簿查詢log file,發現再出現異常狀況時候都會有如同網路文章中所註
記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140),但是回頭查詢4624的網路
登入資訊在那個時間點卻沒有 登入型別為10(遠端互動),實在難以找到對方IP,推
測估計對方為公司同區域網路內人員,不知用什麼方式入侵我主機(ex:在D槽安裝後門程
式 或是 C槽有隱藏帳戶?),已經換過密碼,也查詢過帳戶,沒有可以之處,不知前輩
們是否可以給予建議,在電腦如何設定可以找到對方IP,或是推薦同業可以處理分析此問
題的 單位 或 人員 或網站,再麻煩IT前輩們幫忙,謝謝。(推文或是回信都可以)
(我這邊有windows 登入事件紀錄檔案,以及windows遠端讀寫事件紀錄檔案,
若是前輩需要可以來信給我,我再寄給前輩們,謝謝。(icuriousthisworld@gmail.com)
附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50,如下圖1)
(縮圖網址被判定為廣告,來信提供給您)
回頭對照附件2的4624登入紀錄(如下圖2),我也看不出所以然,還煩請幫忙分析,謝謝。
(縮圖網址被判定為廣告,來信提供給您)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.192.156.119 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1595945542.A.0D5.html
→
07/29 10:45,
4年前
, 1F
07/29 10:45, 1F
→
07/29 21:22,
4年前
, 2F
07/29 21:22, 2F
→
07/29 21:23,
4年前
, 3F
07/29 21:23, 3F
→
07/29 21:23,
4年前
, 4F
07/29 21:23, 4F
→
07/29 21:24,
4年前
, 5F
07/29 21:24, 5F
→
07/29 21:24,
4年前
, 6F
07/29 21:24, 6F
→
07/29 22:24,
4年前
, 7F
07/29 22:24, 7F
→
07/29 22:24,
4年前
, 8F
07/29 22:24, 8F
→
07/29 22:24,
4年前
, 9F
07/29 22:24, 9F
推
07/30 11:46,
4年前
, 10F
07/30 11:46, 10F
推
07/31 03:15,
4年前
, 11F
07/31 03:15, 11F
推
07/31 19:35,
4年前
, 12F
07/31 19:35, 12F
推
07/31 19:41,
4年前
, 13F
07/31 19:41, 13F
討論串 (同標題文章)
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章