阿里云反馈公司公网出口有一直在攻击阿里云 ip 行为,想问一下有遇见过嘛,怎么定位到公司哪台电脑在攻击

查看 149|回复 11
作者:xiaohantx   

xiaohantx
OP
  
![05ab52b43c1fdd24fa6d18a543afcb66.jpeg]( https://ice.frostsky.com/2024/08/21/05ab52b43c1fdd24fa6d18a543afcb66.jpeg)
oldboy627   
抓个包看看,过滤下端口或者 ip 地址啥的,看看能不能发现。
xiaohantx
OP
  
![bb19bf14f07f8ac3ec8e4bc74ecc1872.jpeg]( https://ice.frostsky.com/2024/08/21/bb19bf14f07f8ac3ec8e4bc74ecc1872.jpeg)
xiaohantx
OP
  
@oldboy627 因为没有专业的运维,就个后端,可以麻烦尽可能的操作上详细一点嘛,谢谢。
dier   
可以把公司的电脑的 ip 都固定成静态 IP ,然后网关上做个白名单,这样就能过滤出来是哪个设备中了木马病毒了
xiaohantx
OP
  
看你们的网关路由器上有没有流量监控或者连接监控的功能,先把连接数高的和流量大的 IP 记下来,找到对应的电脑,装个杀毒软件全盘扫一下
yu1u   
@dier 找到了昨天晚上访问频率高的 ip ,当时同事在加班,但是不能完全确定,因为是出口地址攻击了全阿里云 ip 不是单独某一台。
dier   
在公司核心抓取目的地址的流量就知道哪个 IP 在攻击了
sooong   
@xiaohantx 先把可疑的排查一下看看效果呀。如果是木马、病毒可能会在局域网内传播,如果觉得不可能只有一台的话只能把所有电脑都扫一遍
您需要登录后才可以回帖 登录 | 立即注册

返回顶部