V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
eekon
V2EX  ›  分享发现

公司的大多数电脑开始每隔十分钟便向 192.168.210.102 的 TCP445 发起连接请求

  •  
  •   eekon · 43 天前 · 1879 次点击
    这是一个创建于 43 天前的主题,其中的信息可能已经有所发展或是发生改变。

    192.168.210.102 这个 IP 地址在内网中从来没有使用过,电脑上也没有主动去访问过这个 IP 地址,目前正在追踪中,有没有遇到的朋友分享一下。

    16 条回复    2025-07-22 08:01:28 +08:00
    sampeng
        1
    sampeng  
       43 天前
    这有什么好追踪的。路由上一封。谁嚷嚷就是谁的锅
    eekon
        2
    eekon  
    OP
       43 天前
    @sampeng 现在要追踪一下电脑上面具体是什么进程/dll 发起的这个 TCP 请求,几百台电脑每隔十分钟发起一次,一天下来,防火墙上面这个的会话记录 4W 多条了
    eekon
        3
    eekon  
    OP
       43 天前
    现在还是停留在 System 这个进程上,现在就是想知道为什么会这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求。
    seers
        4
    seers  
       43 天前 via Android
    反向思维,搞个蜜罐,看看通信成功了抓包不就得了,IP 、mac 、端口,要啥有啥
    eekon
        5
    eekon  
    OP
       43 天前
    @seers 这些都抓过了,就是正常的 SMB 请求,我在核心/汇聚交换机的其中一个 vlanif 接口上配置了 192.168.210.1 sub 地址作为 192.168.210.102 的网关,然后找了一台电脑配置了 192.168.210.102 这个 IP 地址,并且开启了 SMB 共享,可以正常建立 TCP 的连接
    yyzh
        6
    yyzh  
       43 天前 via Android
    🤔system 发起 445.应该是 SMB 了吧.之前搞过什么文件共享的东西?
    yukiww233
        7
    yukiww233  
       43 天前
    这不是 smb 端口吗? 是 windows 映射了共享文件夹为盘符吧, 轮询刷新
    eekon
        8
    eekon  
    OP
       43 天前
    @yyzh 没有搞过,公司内几百台电脑的请求目标都是 TCP 192.168.210.102:445
    yyzh
        9
    yyzh  
       43 天前 via Android
    安全程序没报的那直接交换机 acl 封掉完事
    eekon
        10
    eekon  
    OP
       43 天前
    @yyzh 主机安全软件没有报风险,就是担心以后会出安全事件
    sampeng
        11
    sampeng  
       43 天前
    @eekon 你先封,调查不是让问题一直持续着调查。尤其是安全问题。。等你查完,黄花菜都凉了。你另外开个机器。acl 只允许这个 windows 机器通过。
    imiem
        12
    imiem  
       43 天前
    会不会是系统镜像有问题?
    比如 192.168.210.102 是一台监控中央服务器,然后镜像设置了向这个中央服务器备份数据。
    NewYear
        13
    NewYear  
       43 天前
    只有两种可能。

    1 、中病毒了,这个手动杀毒,排除法啥的,你搞个空闲的机器慢慢测。

    2 、公司用的某个软件导致的,杀进程,或者逐个进程/服务关闭、卸载,资源管理器拓展项等等都挨个禁用。

    答案自现。

    搜了一下网上是没有相同情况的,很明显大概率是内部软件,或者有什么东西配置导致的,如果是近期出现的,说明是有些软件配置超出了你的掌控,或不属于你运维。

    没啥好讲的,耐心点处理,总会有答案的,不是通用问题你上来问不会有准确答案的,特别是网上没有案例的情况下。
    vangjing
        14
    vangjing  
       43 天前
    @eekon
    1. 现在还是停留在 System 这个进程上
    2. 这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求
    如果没有正常业务用这个 IP ,那大概率是中毒了。
    建议先联系相关研发/业务人员进行沟通,或者先把 192.168.210.102 的网络断了等人联系你
    排查 192.168.210.102 有没有映射到公网,或者可以通过公网访问
    无论是不是正常业务,做好 445 端口的安全防护,如果被攻击,有可能所有能连接这个 IP 的设备都中招
    Mithril
        15
    Mithril  
       43 天前
    你可以看看有没有别的 SMB 请求。SMB 可以用 SCF 泄露 NTLM 认证的 HASH 。

    简单的测试办法,你去搞个 192.168.210.102 的主机,然后开 SMB 服务,可以试着开启匿名写入。然后这台主机禁止所有 outbound 连接,并且打出来 Log 。切记一定要在网关封掉所有出站链接,不然可能泄露你的认证信息。

    然后你时不时的用 Explorer 看一下你共享的目录,再去看看这台主机有没有往外发什么请求。如果确实是有出站请求,说明你那几百台机器真的感染了。
    kokerkov
        16
    kokerkov  
       42 天前
    一般不会是恶性病毒,如果病毒干嘛集中往内网的机器发?直接朝外发送不就完了。

    估计是 ARP 欺骗之类的恶心人用的
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   938 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:23 · PVG 06:23 · LAX 15:23 · JFK 18:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.