來這鬼混也有點日子
沒供獻點什麼實在不好意思...
[真人真事]
我離開舊公司還沒滿一個月,就發生公司史上最大駭客入侵事件。
雖然新任的系統管理者還是在學夜校生(頭家用人哲學蠻喜歡用便宜的新人),不過看在是本科系及有相關工作經驗的份上,眼看離職日越來越近,我對新人也沒有太多意見,不過那時我並沒有料到有這樣恐怖的後果。
Untrust -> Trust
Source:ANY Destination:ANY Service:ANY Permission:ALLOW
靠~這種規則也設得出來,怎麼不乾脆把防火牆賣掉還有錢拿!
依照LOG,這條天才規則是22日出現的,大概在26~27日左右,主機就被駭了,請注意,這台WIN2000 SERVER主機身兼DC、DHCP、DNS、ERP、DATABASE、FILE、防毒主機等重大功能,盡管我先前有上PATCH、上防毒、調整過安全性、管制USER ACCOUNT、增強型密碼,但沒有防火牆的庇護,一切都顯得沒意義。結果ERP掛兩天,新人跟ERP維護工程師搞不定,掛到沒辦法,晚上下班趕緊叫我回去救,八里到中和,騎車要一小時,還下大雨,二重疏洪道跟水池沒兩樣,又濕又冷又餓又累,滿肚子不情願的去當救火隊。
原以為是主機哪裡掛掉,結果一看到防火牆的天才規則,我知道事情不如之前想的單純,再仔細檢查,GUEST是開的且屬於 ADMINISTRATOR群組,有不知名帳號登入TERNIMAL,新增移除裡有簡體版的QQ2005,警告表示外部有固定某IP有做PORT SCAN(我查到資料還打電話去COMPLAIN),用反間軟體測出可疑鍵值,主機MRTG有長時特異的大流量...直覺告訴我是完蛋了,這麼重要的機器,這麼離譜的設定,這麼難搞的狀況,又不能隨便重灌,我是不是也該叫救命,早知道這麼難救,我之前就該持續要求SERVER要多買幾台來分擔風險,不要就兩台SERVER一直死撐,讓一個不懂備份與維護的人扛這樣的環境實在太勉強了,但防火牆這種老技術對本科的算是COMMON SENSE了,不知道怎麼會變成這樣...
結果?結果弄到半夜,能救盡量救,能修盡量修,提供一個正常運作的環境,其他就靠ERP維護廠商了
 |
回覆時引用此文章
作者:cappella
書籤