banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Giúp đỡ về máy server 2003  XML
  [Question]   Giúp đỡ về máy server 2003 19/09/2012 06:24:08 (+0700) | #1 | 269490
hoangkhoang
Member

[Minus]    0    [Plus]
Joined: 18/09/2012 01:09:59
Messages: 3
Offline
[Profile] [PM]
Anh chị em cho mình sự giúp đỡ:
- Hiện nay bên mình đang sử dụng 1 máy server để lưu trữ công văn của xí nghiệp. CBCNV của toàn xí nghiệp có thể truy cập vào vào máy server này để up và down công văn (theo mình biết thì máy có địa chỉ IP tĩnh do nhà mạng cung cấp, có thể truy cập vào máy chủ từ bất cứ chỗ nào có mạng, kể cả Dcom).
- Ngày 17/ 9/2012 có một CBCNV đã gửi vào server 1 công văn chửi bới cán bộ, file word, kiểm tra có các thông tin sau: author: tranhocco; last save by: user; Revision number: 2; company: HOME.
Cho mình hỏi có thể truy tìm được người (máy) public cái công văn này không ạ!
Chân thành cảm ơn ACE.
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 19/09/2012 08:54:04 (+0700) | #2 | 269493
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

hoangkhoang wrote:
Anh chị em cho mình sự giúp đỡ:
- Hiện nay bên mình đang sử dụng 1 máy server để lưu trữ công văn của xí nghiệp. CBCNV của toàn xí nghiệp có thể truy cập vào vào máy server này để up và down công văn (theo mình biết thì máy có địa chỉ IP tĩnh do nhà mạng cung cấp, có thể truy cập vào máy chủ từ bất cứ chỗ nào có mạng, kể cả Dcom).
- Ngày 17/ 9/2012 có một CBCNV đã gửi vào server 1 công văn chửi bới cán bộ, file word, kiểm tra có các thông tin sau: author: tranhocco; last save by: user; Revision number: 2; company: HOME.
Cho mình hỏi có thể truy tìm được người (máy) public cái công văn này không ạ!
Chân thành cảm ơn ACE. 


Vậy là bất kỳ ai cũng có thể truy cập vào máy server để upload công văn cả, phân quyền hạn trong công ty của bạn "đã" nhiệt. Đối chiếu so sánh thời gian upload và file log lưu được có trong hệ thống xem, phần này là do lỗi của người quản trị thiếu xót, rút kinh nghiệm sau này nên thiết lập 1 quy định để hạn chế tình trạng này có thể sẽ tiếp diễn lần nữa. Ngoài ra nhờ ISP can thiệp, chắc dò tìm manh mối, thu hẹp vùng "phủ sóng" smilie

P/s : Tôi mà gặp, tóm thằng nào mà dùng trò tấn công kiểu dạng chửi bới,sniff password, cài keylog,...tôi cho dép vào đầu. Làm không ra làm, tối ngày đòi hỏi đủ thứ , gây mất đoàn kết nội bộ, xuyên tạc,...đòi làm anh hùng "núp" kiểu này ngán ngẫm thiệt smilie
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 19/09/2012 09:31:28 (+0700) | #3 | 269494
hoangkhoang
Member

[Minus]    0    [Plus]
Joined: 18/09/2012 01:09:59
Messages: 3
Offline
[Profile] [PM]

 
Vậy là bất kỳ ai cũng có thể truy cập vào máy server để upload công văn cả, phân quyền hạn trong công ty của bạn "đã" nhiệt. Đối chiếu so sánh thời gian upload và file log lưu được có trong hệ thống xem, phần này là do lỗi của người quản trị thiếu xót, rút kinh nghiệm sau này nên thiết lập 1 quy định để hạn chế tình trạng này có thể sẽ tiếp diễn lần nữa. Ngoài ra nhờ ISP can thiệp, chắc dò tìm manh mối, thu hẹp vùng "phủ sóng" smilie

P/s : Tôi mà gặp, tóm thằng nào mà dùng trò tấn công kiểu dạng chửi bới,sniff password, cài keylog,...tôi cho dép vào đầu. Làm không ra làm, tối ngày đòi hỏi đủ thứ , gây mất đoàn kết nội bộ, xuyên tạc,...đòi làm anh hùng "núp" kiểu này ngán ngẫm thiệt smilie  
- Bạn nói đúng, vì bên mình là ngành than, không chuyên về CNTT, không có người quản trị mạng nên để mặc server ở đó, ai gửi gì thỉ gửi (nhưng hình như không xoá được).
- Nhờ ISP như thế nào, bạn có thể nói rõ hơn đc không?
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 20/09/2012 15:58:16 (+0700) | #4 | 269552
[Avatar]
vnsec_net
Member

[Minus]    0    [Plus]
Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Vấn đề này rất hay. Có bác nào bên C50 rành về nghiệp vụ thì có thể giải quyết được.

Tôi nêu vài ý kiến:

Bước 1: Kiểm tra thời gian upload của file lên Server.
Bước 2: Kiểm tra IP nào đã upload file đó lên nhờ vào logfile.
Bước 3: Nhờ ISP kiểm tra vào thời điểm trên, ai đã sử dụng IP đó (việc này khó với người ngoài, tuy nhiên không khó đối với khi có công văn --theo tôi nghĩ thế).
Bước 4: Sau khi có các thông tin trên cần suy luận có thể ra đáp án, tuy là sử dụng IP động nhưng với ISP thì họ có thể biết được chủ thuê bao đang dùng.


Note: Không biết bên hoangkhoang sử dụng cái gì để upload và download file? Qua HTTP, FTP hay qua phuơng thức khác? Lấy logfile thì dựa vào các phuơng thức này mà lấy thôi bác ạ.

Chúc bác mau tìm ra "thủ phạm".
--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 24/09/2012 06:32:32 (+0700) | #5 | 269665
hoangkhoang
Member

[Minus]    0    [Plus]
Joined: 18/09/2012 01:09:59
Messages: 3
Offline
[Profile] [PM]

vnsec_net wrote:
Vấn đề này rất hay. Có bác nào bên C50 rành về nghiệp vụ thì có thể giải quyết được.

Tôi nêu vài ý kiến:

Bước 1: Kiểm tra thời gian upload của file lên Server.
Bước 2: Kiểm tra IP nào đã upload file đó lên nhờ vào logfile.
Bước 3: Nhờ ISP kiểm tra vào thời điểm trên, ai đã sử dụng IP đó (việc này khó với người ngoài, tuy nhiên không khó đối với khi có công văn --theo tôi nghĩ thế).
Bước 4: Sau khi có các thông tin trên cần suy luận có thể ra đáp án, tuy là sử dụng IP động nhưng với ISP thì họ có thể biết được chủ thuê bao đang dùng.


Note: Không biết bên hoangkhoang sử dụng cái gì để upload và download file? Qua HTTP, FTP hay qua phuơng thức khác? Lấy logfile thì dựa vào các phuơng thức này mà lấy thôi bác ạ.

Chúc bác mau tìm ra "thủ phạm". 


B1: Thời gian upload của file vào server là xác định được.
B1: IP đã upload lên có thể xác định được.
B3: Có thể dùng SIM 3G khuyến mại để online và gửi file vào server, xong là bỏ SIM đi thì khó có thể xác định được chủ thuê bao.
B4: Khi đã bị IP động và là SIM rác thì không thể xác định được chủ thuê bao.
P/S: bên mình dùng FPT để up và download. FPT:\\xxx.xxx.xxx.xxx và đăng nhập với username+password là có thể can thiệp được vào dữ liệu (copy, paste, delete...).
Các cao thủ có hướng gì khác không ạ?
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 24/09/2012 07:03:08 (+0700) | #6 | 269666
[Avatar]
xuanphongdocco
Member

[Minus]    0    [Plus]
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
[Profile] [PM]
Biện pháp kỹ thuật chưa tìm ra thì thử biện pháp phi kỹ thuật xem sao. Áp dụng vài kế điệu hổ ly sơn của Khổng Minh đã dùng. Tôi tin chắc thủ phạm là người trong nội bộ. Gây án xong rồi nhưng vẫn còn nghe ngóng kết quả mà smilie
Xuân Phong Nguyễn
[Up] [Print Copy]
  [Question]   Giúp đỡ về máy server 2003 24/09/2012 11:01:04 (+0700) | #7 | 269671
[Avatar]
scout
Member

[Minus]    0    [Plus]
Joined: 28/07/2007 19:48:01
Messages: 7
Offline
[Profile] [PM]
Chuẩn men,

Bác chủ thớt xem lại:
- Chính sách sử dụng cái sever kia
- Nhân dịp này đề cao bảo mật, đề xuất sếp giáo huấn lại nhân viên, xem lại xem vì sao ai đó chửi bậy

Chúc bác cẩn thận hơn. smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|