有懂运维、或者网络安全的老哥吗，帮我看看这是啥情况？

我用 clash 被公司网络部通知，这是 clash 真的带毒？还是什么情况？

事件描述
每日巡检中用户安全板块发现此 P 地址被攻陷
处理过程
1 、为保证网络安全，首先通过 MAC 地址找到
交换机对应端口，使用 shutdown 命令禁用网
络。
2 、分析病毒类型：
安全事件一般分为三种视角，1.外到内 2.内到
外 3 内到内
通过防火墙日志分析，当前病毒威胁类型为僵
尸网络，标签 coinmineri 这类型的挖矿病毒，通
常是内部电脑中毒，向外部攻击服务器上传数
据被防火墙检测出而产生的。通过防火墙日志
分析，发现发起请求的源端口为 58850 ，再源
主机上利用 netstat-aon|findstr"58850"和 tas
klist|findstr"4992"命令定位病毒源程序。
病毒源程序为：clash-core-service.exe
同时分析系统日志，系统任务计划程序，发现
此病毒文件每天定时执行。
3 、处理病毒：
彻底卸载病毒源程序，彻底删除源程序文件。
终止并删除病毒源程序定时计划任务。
4 、恢复网络、并持续跟踪观察此 P 在防火墙日
志记录。

billowssun123

2023-05-22 01:16:30 +08:00

那个网管说公司防火墙一直在报警，这是 ip 暴露被攻击了的意思吗，但是他发过来的通知又是说的挖矿病毒，主要是电脑本地没有报毒，电脑占用也没有任何异常之类的，没太看懂。

cnevil

2023-05-22 11:03:35 +08:00

我一个朋友每次用 frp 过不了多久都会被管网络的封 ip 然后他再手动改成别的。。
你这应该是公司的安全产品认为你访问的地址有问题，或者你用的隧道协议啥的有问题，甚至我见过 dns 请求的域名太长了都会告警，原因是隐蔽通信啥的，一般挖矿病毒告警都是通过访问的域名或 ip 地址来判断的。
安全设备一般基于特征，误报高本质上是宁错杀不放过，这就要求运维 /运营者的水平了，他如果最后判断没有问题就可以算是误报。当然，如果是我我选择跟设备统一口径，毕竟你就是个普通员工用的还是翻墙软件，我不可能担着风险给你做担保

woyaowb11

2023-09-21 20:57:32 +08:00

我遇到同样的情况了，网管一直提示我说我中了挖矿病毒，一直在拦截我访问 IP ，我查了很奇怪是通用 DNS 的，请问你最后是怎么解决的啊。。。能否告知一下。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/941768

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.