阿里云反馈公司公网出口有一直在攻击阿里云 ip 行为,想问一下有遇见过嘛,怎么定位到公司哪台电脑在攻击
xiaohantx 2024-08-21 10:46:39 +08:00 1920 次点击这是一个创建于 416 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 xiaohantx OP  |
 | 2 oldboy627 2024-08-21 10:52:58 +08:00 via iPhone 抓个包看看,过滤下端口或者 ip 地址啥的,看看能不能发现。 |
| 3 xiaohantx OP  |
 | 5 fiveStarLaoliang 2024-08-21 11:20:03 +08:00 可以把公司的电脑的 ip 都固定成静态 IP ,然后网关上做个白名单,这样就能过滤出来是哪个设备中了木马病毒了 |
 | 6 dier 2024-08-21 11:44:52 +08:00 看你们的网关路由器上有没有流量监控或者连接监控的功能,先把连接数高的和流量大的 IP 记下来,找到对应的电脑,装个杀毒软件全盘扫一下 |
| 7 xiaohantx OP @dier 找到了昨天晚上访问频率高的 ip ,当时同事在加班,但是不能完全确定,因为是出口地址攻击了全阿里云 ip 不是单独某一台。 |
 | 8 yu1u 2024-08-21 14:18:55 +08:00 在公司核心抓取目的地址的流量就知道哪个 IP 在攻击了 |
| 9 dier 2024-08-21 17:48:54 +08:00 @xiaohantx 先把可疑的排查一下看看效果呀。如果是木马、病毒可能会在局域网内传播,如果觉得不可能只有一台的话只能把所有电脑都扫一遍 |
 | 10 sooong 2024-08-21 17:51:41 +08:00 上周也遇到过 aws 上一台服务器被植入木马, ssh 一直爆破别的服务器。 |
 | 11 yinmin 2024-08-21 20:59:34 +08:00 via iPhone 这种情况大都是中木马了,你到同事的电脑上运行 netstat -n 看看是否有很多的 tcp 连接,如果有的话,管理员运行 cmd.exe ,netstat -n -b 查看是哪个进程 |
 | 12 IvanLi127 2024-08-21 21:15:36 +08:00 我有个土办法: 二分法,拔网线 |
 | 13 defunct9 2024-08-22 11:17:01 +08:00 开 ssh ,让我上去看看 |
 | 14 BadFox 2024-08-22 15:23:00 +08:00 ssh 或者向日葵链接发一下,我上个 cs 。 |
Select Language