LV.999 | [自爆]由於一個防火牆的錯誤設定,公司主機短時間就淪陷了 來這鬼混也有點日子 沒供獻點什麼實在不好意思... [真人真事] 我離開舊公司還沒滿一個月,就發生公司史上最大駭客入侵事件。 雖然新任的系統管理者還是在學夜校生(頭家用人哲學蠻喜歡用便宜的新人),不過看在是本科系及有相關工作經驗的份上,眼看離職日越來越近,我對新人也沒有太多意見,不過那時我並沒有料到有這樣恐怖的後果。 Untrust -> Trust Source:ANY Destination:ANY Service:ANY Permission:ALLOW 靠~這種規則也設得出來,怎麼不乾脆把防火牆賣掉還有錢拿! 依照LOG,這條天才規則是22日出現的,大概在26~27日左右,主機就被駭了,請注意,這台WIN2000 SERVER主機身兼DC、DHCP、DNS、ERP、DATABASE、FILE、防毒主機等重大功能,盡管我先前有上PATCH、上防毒、調整過安全性、管制USER ACCOUNT、增強型密碼,但沒有防火牆的庇護,一切都顯得沒意義。結果ERP掛兩天,新人跟ERP維護工程師搞不定,掛到沒辦法,晚上下班趕緊叫我回去救,八里到中和,騎車要一小時,還下大雨,二重疏洪道跟水池沒兩樣,又濕又冷又餓又累,滿肚子不情願的去當救火隊。 原以為是主機哪裡掛掉,結果一看到防火牆的天才規則,我知道事情不如之前想的單純,再仔細檢查,GUEST是開的且屬於 ADMINISTRATOR群組,有不知名帳號登入TERNIMAL,新增移除裡有簡體版的QQ2005,警告表示外部有固定某IP有做PORT SCAN(我查到資料還打電話去COMPLAIN),用反間軟體測出可疑鍵值,主機MRTG有長時特異的大流量...直覺告訴我是完蛋了,這麼重要的機器,這麼離譜的設定,這麼難搞的狀況,又不能隨便重灌,我是不是也該叫救命,早知道這麼難救,我之前就該持續要求SERVER要多買幾台來分擔風險,不要就兩台SERVER一直死撐,讓一個不懂備份與維護的人扛這樣的環境實在太勉強了,但防火牆這種老技術對本科的算是COMMON SENSE了,不知道怎麼會變成這樣... 結果?結果弄到半夜,能救盡量救,能修盡量修,提供一個正常運作的環境,其他就靠ERP維護廠商了 |
回覆 |
會員 | 天呀 真是恐怖 你乾脆讓他掛了吧 給你們老闆一個教訓吧 ! 讓他知道 資訊系統垮掉的痛苦.不然你們老闆一定會繼續用新人的 因為出錯還是會有人幫他搞定的.不過這也太扯了.哪一間學校教的 愈看愈恐怖. |
回覆 |
會員 | 所以這個故事告訴我們: 凡事還沒搞清楚之前 不要隨便去動設定 |
回覆 |
會員 | 跟你們老闆說:地球太危險了....... 快點回火星吧 |
回覆 |
會員 | 我也這麼覺得,老闆沒痛過不會學到教訓,這是讓他痛的好時機 |
回覆 |
會員 | 好奇的是.不過離開幾天 為何變更防火強設定? |
回覆 |
會員 | >GUEST是開的且屬於 ADMINISTRATOR群組 小弟覺得,這個也是重點吧.. 這樣設定也太天才了,就算有防火牆,要是內網有人閒閒沒事,不小心按了delete.. |
回覆 |
會員 | 樓主太善良了, 要是我就不去了. 要去也要跟他們要錢. 喜歡用無經驗的新人是吧, 等著被駭吧. 引用:
| |
回覆 |
LV.999 | 關於那個guest->admin 我想應該是駭客所為 那個不知名帳號的SID已不見蹤跡 亦可能是駭客本身為消除蹤跡而自刪帳號 反正這簍子捅太大 我自己也沒信心搞定 整個系統重做則太累人 目前靜觀其變 |
回覆 |
會員 | 我覺得不見得是自己人幹的,因為那條規則太明顯了..搞不好是Firewall有漏洞或BUG,讓駭客有機可乘,被新增了那條規則,從此門戶大開. 能待在MIS部門的人不論新舊,應該不太可能會犯這個錯誤.(至少我沒遇過) |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。