作者ekids1234 (∵:☆星痕╭☆)
看板AntiVirus
標題[求救] 學校宿舍宿網被判斷中毒斷線
時間Tue Jun 7 10:33:44 2016
之前已經被斷線一次
後來我去找網管,因為我們也討論不出個所以然,
所以他就叫我裝TCPview 然後之後看看情況。
第一次發生時間 2016-05-21 下午約2~4點被偵測到 ((確切時間忘記了
這次是 6/6 04:15 ((凌晨
當時我已經睡了,表面電腦執行程式就Chrome 記事本 PDF閱讀器
上次發生這種狀況後 有用內建Defender完整掃過、小紅傘完整掃過、卡巴完整掃過
沒有問題 (但有掃到我root用.apk檔有問題 @@
作業系統 Win10
------以下是詳細資料-----------------------------
事件描述
ASOC發現貴所屬 IP___ 疑似對外進行
GnuTLS.TLS.Record.Decoding.OutOfBounds.Memory.DoS 攻擊
手法研判
惠請貴單位:
1.檢查防火牆紀錄:查看內部是否有開啟異常的連接埠。
2.利用工具程式(如:TCPview、procexp)於來源主機觀察,
找出實際執行連線的程式,確認該程式是否為惡意程式。
3.若連線並非預期行為,則來源主機可能已遭植入惡意程式,建議利用木馬
或後門清除程式掃瞄該主機,並手動檢測是否有惡意程式執行。
4.檢視及執行各系統之
安全修補,並升級至最新版本
http://www.gnutls.org/security.html#GNUTLS-SA-2013-2
5.攻擊名稱相關參考資料網
站:
Fortinet--
http://fortiguard.com/encyclopedia/vulnerability/ips-36044
CVE--
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2116
-----------------------------------------------------
想問問 :
1.我有TCPview有用嗎 ? 應該說 這個時間點只要我不在 我也沒辦法看 ...
他貌似沒有自動儲存的功能阿 ...
且TCPV也沒有開機自啟,是不是我之後如果要監控要自己開或加入開機啟動列表 ?
(但是也沒有log能看過去時間發生甚麼...
2.上面那些 ...甚麼攻擊 或是安全修補的我看不懂 @@
可以煩請大大跟我說解決方式 ? 或是推測出這種攻擊性跟甚麼有關聯 ?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.123.222.133
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465266829.A.B37.html
→ DINJIAPC: 請用原版片重裝作業系統 06/07 12:57
→ go1717: 你的電腦被當成殭屍?win10是怎麼灌的有印象嗎? 06/07 13:35
→ go1717: 該不會是拿網路上整合版.破解版來灌吧? 06/07 13:44
... 看到留言有點傷心
我筆電是去年8月買的 Win 8.1 內建
然後今年約四月多 用Windoows內建Updater 升上 Win 10
(就跟大多數人一樣收到那種通知然後按下更新)
完全用正版阿 QQQQQ
另外 想問一下
樓上們是怎麼推估出可能是作業系統來源問題 ?
※ 編輯: ekids1234 (140.123.222.133), 06/07/2016 15:27:33
→ chang0206: 可以用tasklist 指令批次輸出當下的行程 06/07 17:19
→ go1717: 去重灌比較快 也許你使用的軟體有問題@@ 06/07 19:49
推 ff760725: 重灌比較快+1 06/12 22:30