Se rilevi attività sulla porta 3389 (il mouse inizia a muoversi) Quali sono i primi passi che dovresti prendere da un punto di vista della sicurezza e chi dovrebbe essere informato?
Se rilevi attività sulla porta 3389 (il mouse inizia a muoversi) Quali sono i primi passi che dovresti prendere da un punto di vista della sicurezza e chi dovrebbe essere informato?
Hai due scelte:
L'opzione 1 comporta il disinserimento fisico della macchina dalla rete, quindi la tratta come ostile. È stato infettato, quindi non è più il tuo computer. Prendi tutti i file necessari da esso tramite un CD live e pulisci l'unità. Assicurati di eseguire un AV aggiornato sui file che copi, nel caso in cui siano stati infettati da qualcosa. Ciò include in particolare documenti (.doc, .pdf, ecc.), Nonché script ed eseguibili, poiché oggigiorno sono un obiettivo comune.
L'opzione 2 comporta la perdita di dati da parte di potenzialmente e il tempo dell'attaccante di fare cose cattive con il tuo computer / rete. Prendi un mucchio di strumenti ( Wireshark / Process Explorer ) e scopri cosa diavolo sta succedendo.
Alcuni suggerimenti:
.pcap
su un'unità rimovibile per analisi successive. netstat -an
per ottenere un elenco completo di connessioni / ascoltatori TCP attivi. procdump -mp <pID>
Salva i dump in un posto sicuro. Consiglio vivamente l'opzione 1 per la sicurezza, ma la seconda opzione ti fornirà un'idea migliore di chi è l'attaccante e di cosa sta facendo.
La prima cosa che dovresti fare è fisicamente disconnettere il computer dalla rete. Potresti pensare semplicemente che "staccare la spina" sarebbe meglio dal punto di vista della sicurezza e avresti ragione. Tuttavia, staccando la spina si perdono preziosi dati forensi. Dovresti quindi informare la persona responsabile per la sicurezza IT del tuo computer. Se quella persona sei tu, allora dovresti iniziare un'indagine forense per scoprire come è successo, perché e come impedire che ciò accada in futuro. Commenta se vuoi saperne di più.
Leggi altre domande sui tag rdp