详细内容

發現某報社已被攻陷的服務器,及時止損

我們在爲某報社做安全巡檢時,kb88凯时会员登录“網絡全流量分析系統”曆史數據中的“暴力破解”事件告警引起了技術人員的注意。通過回溯,發現該類告警信息只在相鄰的十幾天時間內密集出現,最後出現“暴力破解成功”信息,而自此時間點往後再無報警。

以下是分析過程:

告警信息表明:暴力破解攻擊源是境外IP,屬地是德國。

查看TCP流量信息,在“暴力破解成功”時間點前,該內網IP與實施暴力破解的IP之間無長連接、無流量傳輸;在“暴力破解成功”時間點後,該內網IP與實施暴力破解的IP之間出現長連接,每個連接均有上百兆的數據傳輸,這種行爲一直在持續。

經與客戶確認,該內網IP爲本單位服務器。用戶確定本單位在境外無外派人員,也沒有任何需要遠程訪問該服務器的業務場景。

經與用戶溝通,確認該服務器被遠程破解,存在數據泄露風險。

客戶及時修改服務器密碼,淨化服務器環境,消除了外連風險,避免了更大損失。


本案例的啓示在于:如果一個服務器在部署網絡安全系統之前已經被攻陷,它與外界的連接屬于正常數據交換,是不會觸發網絡安全系統報警的,這種風險只有通過流量異常行爲分析才能發現。這正是kb88凯时会员登录産品堅持網絡運維和網絡安全一體化的意義和價值。


掃碼關注:
电 话:400-158-1922      邮 箱: Master@huibeixing.com.cn      地 址: 杭州市滨江区西兴街道滨康路105号
COPYRIGHT @ 2019 - 2022 kb88凯时会员登录 ALL RIGHTS RESERVED
備案號:浙ICP備20003422號-1