这是一个创建于 69 天前的主题,其中的信息可能已经有所发展或是发生改变。
192.168.210.102 这个 IP 地址在内网中从来没有使用过,电脑上也没有主动去访问过这个 IP 地址,目前正在追踪中,有没有遇到的朋友分享一下。
 |
1
sampeng 69 天前
这有什么好追踪的。路由上一封。谁嚷嚷就是谁的锅
|
 |
2
eekon OP @sampeng 现在要追踪一下电脑上面具体是什么进程/dll 发起的这个 TCP 请求,几百台电脑每隔十分钟发起一次,一天下来,防火墙上面这个的会话记录 4W 多条了
|
|
3
eekon OP 现在还是停留在 System 这个进程上,现在就是想知道为什么会这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求。
|
 |
4
seers 69 天前 via Android
反向思维,搞个蜜罐,看看通信成功了抓包不就得了,IP 、mac 、端口,要啥有啥
|
|
5
eekon OP @seers 这些都抓过了,就是正常的 SMB 请求,我在核心/汇聚交换机的其中一个 vlanif 接口上配置了 192.168.210.1 sub 地址作为 192.168.210.102 的网关,然后找了一台电脑配置了 192.168.210.102 这个 IP 地址,并且开启了 SMB 共享,可以正常建立 TCP 的连接
|
 |
6
yyzh 69 天前 via Android
🤔system 发起 445.应该是 SMB 了吧.之前搞过什么文件共享的东西?
|
 |
7
yukiww233 69 天前
这不是 smb 端口吗? 是 windows 映射了共享文件夹为盘符吧, 轮询刷新
|
|
9
yyzh 69 天前 via Android
安全程序没报的那直接交换机 acl 封掉完事
|
 |
12
imiem 69 天前
会不会是系统镜像有问题?
比如 192.168.210.102 是一台监控中央服务器,然后镜像设置了向这个中央服务器备份数据。 |
 |
13
NewYear 69 天前
只有两种可能。
1 、中病毒了,这个手动杀毒,排除法啥的,你搞个空闲的机器慢慢测。 2 、公司用的某个软件导致的,杀进程,或者逐个进程/服务关闭、卸载,资源管理器拓展项等等都挨个禁用。 答案自现。 搜了一下网上是没有相同情况的,很明显大概率是内部软件,或者有什么东西配置导致的,如果是近期出现的,说明是有些软件配置超出了你的掌控,或不属于你运维。 没啥好讲的,耐心点处理,总会有答案的,不是通用问题你上来问不会有准确答案的,特别是网上没有案例的情况下。 |
 |
14
capgosen 69 天前
@eekon
1. 现在还是停留在 System 这个进程上 2. 这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求 如果没有正常业务用这个 IP ,那大概率是中毒了。 建议先联系相关研发/业务人员进行沟通,或者先把 192.168.210.102 的网络断了等人联系你 排查 192.168.210.102 有没有映射到公网,或者可以通过公网访问 无论是不是正常业务,做好 445 端口的安全防护,如果被攻击,有可能所有能连接这个 IP 的设备都中招 |
 |
15
Mithril 69 天前
你可以看看有没有别的 SMB 请求。SMB 可以用 SCF 泄露 NTLM 认证的 HASH 。
简单的测试办法,你去搞个 192.168.210.102 的主机,然后开 SMB 服务,可以试着开启匿名写入。然后这台主机禁止所有 outbound 连接,并且打出来 Log 。切记一定要在网关封掉所有出站链接,不然可能泄露你的认证信息。 然后你时不时的用 Explorer 看一下你共享的目录,再去看看这台主机有没有往外发什么请求。如果确实是有出站请求,说明你那几百台机器真的感染了。 |
 |
16
kokerkov 69 天前
一般不会是恶性病毒,如果病毒干嘛集中往内网的机器发?直接朝外发送不就完了。
估计是 ARP 欺骗之类的恶心人用的 |
Select Language