V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiaohantx
V2EX  ›  问与答

阿里云反馈公司公网出口有一直在攻击阿里云 ip 行为,想问一下有遇见过嘛,怎么定位到公司哪台电脑在攻击

  •  
  •   xiaohantx · 127 天前 · 1614 次点击
    这是一个创建于 127 天前的主题,其中的信息可能已经有所发展或是发生改变。

    05ab52b43c1fdd24fa6d18a543afcb66.jpeg

    14 条回复    2024-08-22 15:23:00 +08:00
    xiaohantx
        1
    xiaohantx  
    OP
       127 天前
    oldboy627
        2
    oldboy627  
       127 天前 via iPhone
    抓个包看看,过滤下端口或者 ip 地址啥的,看看能不能发现。
    xiaohantx
        3
    xiaohantx  
    OP
       127 天前
    xiaohantx
        4
    xiaohantx  
    OP
       127 天前
    @oldboy627 因为没有专业的运维,就个后端,可以麻烦尽可能的操作上详细一点嘛,谢谢。
    fiveStarLaoliang
        5
    fiveStarLaoliang  
       127 天前
    可以把公司的电脑的 ip 都固定成静态 IP ,然后网关上做个白名单,这样就能过滤出来是哪个设备中了木马病毒了
    dier
        6
    dier  
       127 天前
    看你们的网关路由器上有没有流量监控或者连接监控的功能,先把连接数高的和流量大的 IP 记下来,找到对应的电脑,装个杀毒软件全盘扫一下
    xiaohantx
        7
    xiaohantx  
    OP
       127 天前
    @dier 找到了昨天晚上访问频率高的 ip ,当时同事在加班,但是不能完全确定,因为是出口地址攻击了全阿里云 ip 不是单独某一台。
    yu1u
        8
    yu1u  
       127 天前
    在公司核心抓取目的地址的流量就知道哪个 IP 在攻击了
    dier
        9
    dier  
       127 天前
    @xiaohantx 先把可疑的排查一下看看效果呀。如果是木马、病毒可能会在局域网内传播,如果觉得不可能只有一台的话只能把所有电脑都扫一遍
    sooong
        10
    sooong  
       127 天前
    上周也遇到过 aws 上一台服务器被植入木马, ssh 一直爆破别的服务器。
    yinmin
        11
    yinmin  
       127 天前 via iPhone
    这种情况大都是中木马了,你到同事的电脑上运行 netstat -n 看看是否有很多的 tcp 连接,如果有的话,管理员运行 cmd.exe ,netstat -n -b 查看是哪个进程
    IvanLi127
        12
    IvanLi127  
       127 天前
    我有个土办法: 二分法,拔网线
    defunct9
        13
    defunct9  
       126 天前
    开 ssh ,让我上去看看
    BadFox
        14
    BadFox  
       126 天前
    ssh 或者向日葵链接发一下,我上个 cs 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1160 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 18:31 · PVG 02:31 · LAX 10:31 · JFK 13:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.