记一次略坑的应急响应事件

应急响应是信息安全工作中重要的一环，但有时也会因为客户对“黑客”攻击的“恐惧”心理，从而产生很多啼笑皆非的应急响应事件。

情况简介现场排查分析结果分析结论

情况简介

2020年某日，我方接到某单位网络安全负责人反馈，该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器，事出紧急，现场工作人员怀疑该服务器账号密码被黑客更改，需要我方技术团队进行现场支持。

现场排查

经过60分钟后到达客户现场，再次与网络安全负责人确认情况，得到信息与电话沟通内容一致。立刻进入机房进行现场分析，首先对该机器进行物理断网和密码重置，随后使用安全工具对系统进行入侵排查和病毒木马检测，以下为机房现场情况：

（我在这里露个脚(。・＿・。)ﾉI’m sorry~）

对该机器进行物理断网后，进入BIOS，设置从U盘启动：

进入pe对系统密码进行更改处理，主机登录成功，并对系统存在账户进行排查未发现可疑账户：

3．对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查：

3.排查定时任务，并且跟现场工作人员核对，未发现其他非工作人员创建的定时任务

4.排查系统防火墙，日志审核策略及日志留存情况，并将日志做导出备份处理：

5.跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息：

设备IP:172.xx.xx.xx/24

设备网关：172.xx.xx.1

系统管理及使用方登录方式：连接vpn后使用windows远程桌面连接

系统使用方登录时间：2020年8月6日18:30—19:00

主机管理方登录时间：2020年8月7日8:30—9:00

计划任务：使用方自己的正常业务

系统使用方最后一次登录时间：3个月前

分析结果

1.基于该主机自身情况进行分析

（1）调查该主机自身感染病毒木马情况：人工分析未发现系统感染恶意病毒木马特征，无可疑账户、克隆账户、可疑计划任务，未发现入侵现象。

（2）系统日志分析情况：对近期系统登录成功与失败日志进行排查，如下图所示：

（3）使用logparse进行日志分析：

分析结论

8月7日8:30-9:00间多次登录失败，并非攻击者更改密码所致，实际为登录用户名输入错误所致（正确用户名为administrator用户使用用户名为Lenovo，推测为用户远程登录时未修改登录默认用户名信息，导致用户名为个人pc用户名）。根据日志该系统最后一次远程桌面登录为2020年5月6日，与系统使用方描述一致。

本文作者：追鳄小组_return0， 转载请注明来自FreeBuf.COM

【Hacking黑白红】，一线渗透攻防实战交流公众号

回复“电子书”获取web渗透、CTF电子书:
回复“视频教程”获取渗透测试视频教程;  
回复“内网书籍”获取内网学习书籍;        
回复“CTF工具”获取渗透、CTF全套工具;
回复“内网渗透”；获取内网渗透资料;
回复“护网”；获取护网学习资料 ;
回复“python”,获取python视频教程；
回复“java”，获取Java视频教程;
回复“go”，获取go视频教程

知识星球

欢迎加入99米/年，平均每天2毛7分钱，学习网络安全一整年。

原文始发于微信公众号（Hacking黑白红）：记一次略坑的应急响应事件