阿里云反馈公司公网出口有一直在攻击阿里云 ip 行为,想问一下有遇见过嘛,怎么定位到公司哪台电脑在攻击

28 天前
 xiaohantx

1488 次点击
所在节点    问与答
14 条回复
xiaohantx
28 天前
![05ab52b43c1fdd24fa6d18a543afcb66.jpeg]( https://ice.frostsky.com/2024/08/21/05ab52b43c1fdd24fa6d18a543afcb66.jpeg)
oldboy627
28 天前
抓个包看看,过滤下端口或者 ip 地址啥的,看看能不能发现。
xiaohantx
28 天前
![bb19bf14f07f8ac3ec8e4bc74ecc1872.jpeg]( https://ice.frostsky.com/2024/08/21/bb19bf14f07f8ac3ec8e4bc74ecc1872.jpeg)
xiaohantx
28 天前
@oldboy627 因为没有专业的运维,就个后端,可以麻烦尽可能的操作上详细一点嘛,谢谢。
fiveStarLaoliang
28 天前
可以把公司的电脑的 ip 都固定成静态 IP ,然后网关上做个白名单,这样就能过滤出来是哪个设备中了木马病毒了
dier
28 天前
看你们的网关路由器上有没有流量监控或者连接监控的功能,先把连接数高的和流量大的 IP 记下来,找到对应的电脑,装个杀毒软件全盘扫一下
xiaohantx
28 天前
@dier 找到了昨天晚上访问频率高的 ip ,当时同事在加班,但是不能完全确定,因为是出口地址攻击了全阿里云 ip 不是单独某一台。
yu1u
28 天前
在公司核心抓取目的地址的流量就知道哪个 IP 在攻击了
dier
28 天前
@xiaohantx 先把可疑的排查一下看看效果呀。如果是木马、病毒可能会在局域网内传播,如果觉得不可能只有一台的话只能把所有电脑都扫一遍
sooong
28 天前
上周也遇到过 aws 上一台服务器被植入木马, ssh 一直爆破别的服务器。
yinmin
28 天前
这种情况大都是中木马了,你到同事的电脑上运行 netstat -n 看看是否有很多的 tcp 连接,如果有的话,管理员运行 cmd.exe ,netstat -n -b 查看是哪个进程
IvanLi127
28 天前
我有个土办法: 二分法,拔网线
defunct9
27 天前
开 ssh ,让我上去看看
BadFox
27 天前
ssh 或者向日葵链接发一下,我上个 cs 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066652

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX