1. 敘述問題： 公司是一般的小企業 沒有專業的MIS 內部電腦大概三十幾台左右 用的是中華電信FTTB的企業型雙向10M 所以有送資安的服務 從前幾週開始 他開始一直寄信來 標題是: [**********][告警]內部主機疑似對外進行攻擊(已阻擋) 內容是: 親愛的HiNet用戶您好： 感謝您使用HiNet入侵防護服務。 在您租用本服務期間內，本系統將分析貴用戶之入侵防護阻擋紀錄，對嚴重的攻擊行為自 動進行告警。 以下為本次告警內容： ------------------------------------------------------------------------------------- 您的內部主機: **.**.***.*** , 被偵測到有異常的 SQL-Inj-insert 對外攻擊行為, 這 部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦. HN號碼: ******** 來源IP: **.**.***.*** 目標IP: 206.190.36.34 時間 : 2013/5/15 11:41:15 一開始還好 可能幾天會收到一封 這幾天幾乎是一天好幾封 請問這個要怎麼找原因? 內部有一台SQL Server 會跟這個有關係嗎? 2. 系統資料： 內部 Server方面: Windows 2008 Standard R2 * 3 Linux * 1 Synology NAS * 1 內部 工作站方面: Windows XP * 大概15台 Windows 7 * 大概10台 其他還有一些網路印表機 聯網的加工機之類的 3. 分析報告： 防毒軟體報告： 親愛的客戶您好： 感謝您租用HiNet企業資安服務，在此為您報告上週資安防護成效報表， 讓您彈指掌握公 司資安現況。 入侵防護服務統計週報表 用戶號碼 *********** 已阻擋攻擊次數 64 (次) 已阻擋攻擊流量 228 (Bytes) 已防護攻擊 目標通訊埠 12(個) 已防護攻擊項目6 (項) IP數量 來源IP：10 目標IP： 4 風險 高：47 中: 15 低: 2 攻擊方向 外→內：48 次 內→外: 16 次 -- 無心插柳柳成枝 有心插楊楊成林 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 125.224.180.113