作者pen2 (喬韓森)
看板AntiVirus
標題[求救] 中華電信一直警告:內部主機疑似對外攻擊
時間Wed May 15 15:34:49 2013
1. 敘述問題:
公司是一般的小企業 沒有專業的MIS
內部電腦大概三十幾台左右
用的是中華電信FTTB的企業型雙向10M 所以有送資安的服務
從前幾週開始 他開始一直寄信來
標題是: [**********][告警]內部主機疑似對外進行攻擊(已阻擋)
內容是:
親愛的HiNet用戶您好:
感謝您使用HiNet入侵防護服務。
在您租用本服務期間內,本系統將分析貴用戶之入侵防護阻擋紀錄,對嚴重的攻擊行為自
動進行告警。
以下為本次告警內容:
-------------------------------------------------------------------------------------
您的內部主機: **.**.***.*** , 被偵測到有異常的 SQL-Inj-insert 對外攻擊行為, 這
部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦. HN號碼:
******** 來源IP: **.**.***.*** 目標IP: 206.190.36.34 時間 : 2013/5/15 11:41:15
一開始還好 可能幾天會收到一封
這幾天幾乎是一天好幾封
請問這個要怎麼找原因?
內部有一台SQL Server 會跟這個有關係嗎?
2. 系統資料:
內部 Server方面:
Windows 2008 Standard R2 * 3
Linux * 1
Synology NAS * 1
內部 工作站方面:
Windows XP * 大概15台
Windows 7 * 大概10台
其他還有一些網路印表機 聯網的加工機之類的
3. 分析報告:
防毒軟體報告:
親愛的客戶您好:
感謝您租用HiNet企業資安服務,在此為您報告上週資安防護成效報表, 讓您彈指掌握公
司資安現況。
入侵防護服務統計週報表
用戶號碼
***********
已阻擋攻擊次數 64 (次)
已阻擋攻擊流量 228 (Bytes)
已防護攻擊
目標通訊埠 12(個)
已防護攻擊項目6 (項)
IP數量 來源IP:10 目標IP: 4
風險
高:47 中: 15 低: 2
攻擊方向
外→內:48 次
內→外: 16 次
--
無心插柳柳成枝
有心插楊楊成林
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 125.224.180.113
→ yalusko:ip都有了還找不到哪台 (  ̄ c ̄)y▂ξ 05/15 17:33
→ pen2:我只知道我們家裡面對外攻擊的public ip 嗚 05/15 18:45
→ pen2:跟我們家某一台電腦的攻擊目標 05/15 18:45
→ pen2:也就是206.190.36.34 05/15 18:45
→ y3k:你們的Win電腦都有裝防毒軟體嗎?@@ 有的話是哪牌? 05/15 19:09
→ pen2:幾乎都是 AVG Free 2013 05/15 23:58
→ y3k:有進行過完整掃描嗎 05/16 08:46
→ sigurose:關於資料隱碼攻擊的型態,可以參考微軟這篇文章: 05/16 14:35
推 sadpeter:疑似...可能...所以不用太在意它.. 05/17 16:13
→ bestpika:被當跳板? 05/19 13:25
推 asadfish:想辦法得知目標ip及port...用這個反找回去試試?? 05/19 17:27
推 hukhuk:最外層的firewall沒有log查嗎? 06/17 17:31