日期:2014-05-17  浏览次数:20753 次

急!公司重要数据遭到黑客创改!
我们公司的MS-SQL数据数据遭到创改!
公司的服务器为Window2000.   IP:201.12.***
我怀疑是内部员工所为。
我们的网络为局域网
员工的IP分布为192.168.1.1-192.168.10.254
服务器为Window2000的日志里都找不到其他痕迹.
员工的IP地址可以自由设定   但是IP地址段是不能修改的
比如192.168.1的网段修改能范围只能是192.168.1.2到
192.168.1.254     不能修改成192.168.3.123

员工登陆服务器要经过网关,和防火墙
经过网关,和防火墙可以找到员工IP吗?
如果找到了IP地址,怎样确定是哪一个员工?(IP可以修改)
可以通过端口号判断吗?
如何找到线索能?




------解决方案--------------------
ip可以随便改,那就找找看有没有mac的记录。
------解决方案--------------------
如果员工有权限改IP则要找Mac如果他会刷Mac,……就要看监控录像了
而且如果真的是黑客能做到不留痕迹的话,本机上有痕迹的可能也不大
------解决方案--------------------
先用 Log Explorer for SQl Server 查出具体的更改时间和使用帐户

有作案时间就基本上好办一点 先试一下


------解决方案--------------------
我仔细看了一下你的贴发现,您还需要以下两个新技术的帮忙:
1)后门监控
全方位监控整个系统的运行轨迹,对后门动作明察秋毫;
2)智能恢复
根据系统的运行轨迹,对系统的运行状态作集成分析,智能识别出来自害虫、木马和黑客的攻击,包括来自内部的攻击和危害。
......
“毒眼集成安全系统”,可以帮你实现!
顺便给你网址:http://www.e-scout.cn