案例分享-某企業總公司無線網路遭駭客入侵利用,內部持續進行APT攻擊企業內重要伺服器
某企業總公司無線網路遭駭客入侵利用
內部持續進行APT攻擊企業內重要伺服器
一、案例故事
某企業客戶總公司於連假期間上午無線網路遭駭客⼊侵,並透過企業專屬VPN專線對專業IDC機房代管重要伺服器發動⼊侵攻擊⾏為,其採⽤SQL Injection、路徑⾛訪等漏洞嘗試⼊侵,該企業藉由「雲智維資訊顧問代管代維⽅案」主動找出企業內部資安問題,成功預防資安事件擴⼤。
二、解決方法
使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶內部環境網路、資安問題所在。
該企業使用「雲智維資訊顧問代管代維方案」,從該企業收集到的防火牆、WEB伺服器的Syslog發現中毒主機正在嘗試入侵重要設備。
SQL Injection攻擊
說明:攻擊手法是利用應用程式與資料庫層的漏洞,在輸入字串中夾帶SQL語法,如系統未正確過濾,則可能被正常執行,進而顯示資料庫數據。
 |
| SQL Injection攻擊紀錄 |
路徑走訪攻擊
說明:攻擊手法是一種經典的網站攻擊手法,利用網站的安全驗證缺陷與用戶請求的驗證缺陷列出伺服器目錄的漏洞利用方式,其將導致攻擊者成功竊取系統帳密或配置資訊。
 |
| 路徑走訪 - 企圖取得resolv.conf檔案 |
 |
| 路徑走訪 - 企圖取得passwd檔案 |
建議改善措施:
- 於防火牆阻擋WiFi網段連線重要伺服器。
- 於來源主機端進行防毒軟體掃描作業並評估重新安裝。
- 定期更新Web伺服器並於伺服器中設定簡易防火牆或iptables,其僅允許特定來源存取特定服務。
三、結論
該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以主動幫助企業找到資安事件,其無線網路遭到入侵後,再透過企業專屬VPN專線連線至IDC機房入侵Web伺服器並嘗試取得目的主機之帳號密碼,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。
