1
kenneth104 36 天前
考虑一下,是不是一些媒体软件闲时在扫可以共享的目录
|
2
adoal 36 天前
交换器上根据 mac 查端口
|
3
XIoYi OP @kenneth104 在 A 电脑关闭了一个叫打印机什么的服务后,攻击行为就彻底停了
|
5
shixuedela 36 天前
|
6
wheat0r 36 天前
操作系统、杀毒软件都想到了,就是没想到网络设备是可以管理的
|
7
benjaminliangcom 36 天前
@XIoYi #3 是不是扫描的 161 端口, 很多打印机的驱动会扫描这个
|
8
donaldturinglee 36 天前
最好重新划一下子网,不然真容易就被一锅端了。排查攻击源的话得看对面是怎么扫的,如果是脚本小子的话,用 wireshark 仔细检查一下总能抓到线索。如果是一些隐蔽的扫描的话,想溯源还是比较难的
|
9
vip5000521 36 天前
我一猜就是你 A 电脑开了打印机共享.
|
10
XIoYi OP @benjaminliangcom 不是,是 445 端口
|
11
XIoYi OP @vip5000521 他确实开了个打印机的共享服务,用来给打印机直接传输 PDF 什么的
|
13
XIoYi OP @donaldturinglee 前天去问,他说把打印机共享服务关闭后就没攻击行为了……
|
14
XIoYi OP @shixuedela 这是想让我狠狠加班,狠狠地应急,很可恶啊
|
15
tsingkong 36 天前
跟最近发现的 cups 漏洞有没有关系:CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
|
16
proxytoworld 36 天前
wireshark 抓包,trace 以下 route ,看样子是内网,那么路由路径很容易排查,在最后一台路由器看路由表吧
|
17
proxytoworld 36 天前
@tsingkong 445 明显是 windows...
|
19
XIoYi OP @proxytoworld 好,我试试
|
20
sweelia 36 天前
查交换机 arp 表,看接到哪个端口上。一路查过去。必要时可以采用 ping+拔网线大法
|
21
benjaminliangcom 35 天前
@XIoYi #10 B 电脑安装 sysmon
|
23
JK2333 17 天前
一般都是某些终端设备自己悄咪咪搞事情,扫描下内网识别服务之类的····
这种一般去流量层排查吧,比如交换机上去看 |