对某台服务器事件日志的分析
EventID =5038
进程有规律,短时间内频繁操作。发生该操作的原因最大可能是有重要的文件将要被修改,360防火墙的策略将其禁止。如此频繁的操作是很可疑的。
Event4624,Event4634
这两个事件ID显示很明显,是攻击者正在以匿名账户的形式对该服务器进行攻击。对日志进行分析后发现针对本服务器进行攻击的IP为内网IP。怀疑内网有机器被黑客攻陷,并以此作为跳板机对其他机器成功进行内网横向渗透,并利用其他机器做为“肉鸡”对内网的其他机器进行渗透。由事件日志可以看出,本服务器开启了匿名访问策略,建议关闭此策略。(Event4624是登陆成功事件ID,Event4634是成功注销ID)
Event4625
此事件日志显示的是内网的一台机器频繁地使用网络登陆方式尝试对本服务器进行的登陆,是一起很明显的暴力破解登陆密码的尝试。
从事件日志可以看出进行暴力破解攻击的时间段大致与员工正常上下班时间和假期时间吻合,由此可以看出该内网内有员工的机器被入侵,当员工上班时木马便开始对服务器进行暴力破解。由此可以溯源到使用该IP的员工机器,对那台机器进行木马查杀。
Event4776Event4626
Event4776和Event4626通常成对出现。出现此事件ID说明域内机器正在使用需要域控服务器管理员权限的操作,需要管理员重视!确认员工操作是否违规。
对日志的综合分析:
对日志进行综合分析后可以得出以下结论:
域内IP为10.76.123.130的机器被黑客入侵,植入了木马。木马先利用暴力破解的方法获得本服务器的管理员登陆账号密码,然后登陆本服务器后对服务器的高权限工作进行操作后,欲对服务器的重要配置文件进行修改,但是被360的防火墙等设备识别并拦截。从时间上看,不太可能是认为操作,怀疑是黑客写的脚本在运行,需要对员工的机器进行全面检查。
分析日志时发现域内不只一台机器遭受入侵,而且日志显示IP的段地址范围较广,由此大概可以判断,黑客可能对该服务器的网段进行了较长时间的渗透。
黑伞还在!