台灣最大程式設計社群網站
線上人數
1939
 
會員總數:246570
討論主題:190029
歡迎您免費加入會員
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
一直被駭~~
價值 : 100 QP  點閱數:4752 回應數:12
樓主

aarondo
門外漢
0 2
32 1
發送站內信

最近一直被駭客修改db資料,想請問一下,如果對方是用遠端桌面進來的
我想用c#寫一隻監聽3389的資料,或抓遠端桌面進來的使用者id和ip,該如何作

本篇文章發表於2009-05-05 14:06
1樓
回應

sparkdeng
檢舉此回應
你確定是駭客嗎??
db資料修改需要有login name & password,才能登入Data Base
先監測一下有相關權限的人吧
再者Data Base也可以設定哪時候哪個ip ,login進來呀
本篇文章回覆於2009-05-05 16:51
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
回應

lsk
捐贈 VP 給 lsk 檢舉此回應
不一定是用遠端桌面連進來的
就算是也要DB驗證,才能去改DB資料
覺得有可能是你網頁漏洞導致的
如果真的是遠端桌面,把遠端桌面關了不就得了
本篇文章回覆於2009-05-05 17:19
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
都遠端連線了,有系統事件可看吧?
除非你的系統事件也在被連線後一併手動清空...


那直接砍掉系統重練比較快
比你要問用C#去寫個程式追無意義的IP跟ID要有意義太多了
本篇文章回覆於2009-05-07 11:28
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
回應

ihon
捐贈 VP 給 ihon 檢舉此回應
群組原則可以設定稽核登入事件
參考這篇 http://www.tomshardware.com/forum/145115-45-remote-desktop-logs
本篇文章回覆於2009-05-08 03:16
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
作者回應

aarondo
檢舉此回應
db權限設定是windows和sql二種可以登入,所以駭客選windows登入,自然不需要打密碼
那三樓說的沒錯,系統事件,查看了有被清空
本篇文章回覆於2009-05-12 12:37
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
系統事件稽核的最舊一筆通常是正常清除時的帳號
也就是,"正常"清除事件時,一定會有一筆(顯示哪個帳號清掉了事件記錄)
如果連這筆都沒有...


administrator密碼不是空白吧??
新建的使用者帳號也不是空白吧?
有常作系統更新嗎??
Web log有沒有辦法看出個所以然?
本篇文章回覆於2009-05-14 12:44
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
回應

sparkdeng
檢舉此回應
可以使用遠端登入使用windows認証,表示administrator密碼已破解了

1.關閉mstsc
2.administrator密碼變更
只是修改一下資料.....看來,是內鬼所為,真要有心,就...殺很大
本篇文章回覆於2009-05-14 13:22
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
回應

TigerLin
捐贈 VP 給 TigerLin 檢舉此回應
給樓主兩個方向:
1.W3C Log 可以用 LogParser 進行分析,看看是否有異常的網頁被呼叫,也可看出某=哪幾個頁面被SQL Injection 攻擊
2.確定是 WEB 的問題之後,先上 IIS UrlSCAN 進行緊急處理
3.使用系統 Rootkit 偵測工具進行測試一下,EX:RootkitBuster, NPAScan 進行掃描,如果有偵測到系統核心曾被值入 Rootkit的話...重灌Server會比較快些

以上這些資訊可以 Gogle到需多資料,如有不明白的地方可以再繼續深入討論 ^^
本篇文章回覆於2009-07-08 16:53
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
回應

edwin
檢舉此回應
最簡單的方式是查Router或Firewall、IDS的Log
找出3389的連線時間與電腦帳戶稽核時間比對
如果是稽核成功表示3389入侵成功
這種方式完全不用用到額外的工具
本篇文章回覆於2010-10-15 23:06
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
回應

Peter John
檢舉此回應
裝掃毒或防火牆
本篇文章回覆於2011-03-17 16:48
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
回應

Yu-Jung Kuo
檢舉此回應
我的也是...
本篇文章回覆於2011-03-19 09:50
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
12樓
回應

JessKee
檢舉此回應
你好~!系統如不受大眾關注,應該不會是職業駭客。。
只是一些無聊份子。。
可以care 一下目前最蠢,最簡單,的侵入方法。
sql injection 。。。
ms 官方http://www.microsoft.com/taiwan/sql/sql_injection_g1.htm
參考看看~!
本篇文章回覆於2011-11-27 02:24
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.