有時都會收到hinet寄來的信件,如下
你的內部主機: xxx.xxx.xxx.007, 被偵測到有大量異常的 CGI-view_source-access 對外可疑攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦. HN號碼: 11111111 來源IP: xxx.xxx.xxx.007 目標IP: 203.69.138.43 時間 : 2010/6/17 10:19:55
但不知道是內部那一台電腦有問題,看防毒軟體也沒有任何中毒訊息,再去看防火牆也沒什麼異狀,請問有沒有任何軟體可以看是那一台在作怪,有沒有辦法能顯示是內部那個ip出問題,等到hinet通知都太晚了,也看不出來,在swith管理介面也看也沒任何流量大,等於都後知後覺,不知道其他大大在管理網路這方面平常都用什麼軟體在監控每台pc流量是否有問題?或者監控網站流量正常不正常
伺服器3台,pc+nb約三十多台
目前配備:fortinet 60M + HP ProCurve 2650
防毒軟體:卡巴斯基 r2版
已邀請的邦友 {{ invite_list.length }}/5
從中華電信提供的資訊來看,有收到大量異常的CGI-view_source-access。
查了一下,似乎是有在跑cgi服務的伺服器所發出來的。
參考資料如下:
http://www.l7.com.tw/security/AttackDB_detail.php?LID=2716&page=73
這能看出什麼端倪嗎?能告訴我該如何做嗎?目前我是很想知道是那台pc出問題,CGI-view_source-access在做什麼用的?
我認為應該是在伺服器3台所發送的,檢查一下那三台是否有跑cgi服務,另外在看一下那三台伺服器是不是從來源IP: xxx.xxx.xxx.007發出去的,在配合樓下的大大將policy設定deny,檢查log或設定mail試試看吧!
補充:提供fortinet 60系列的使用手冊(簡體中文版)
http://docs.fortinet.com/int/cn/fgt/3.0/FortiGate_60_series_Install_Guide.pdf
wenchan提到:
203.69.138.43
我的做法會是,在 Fortigate 上面設定把連到 203.69.138.43 這個 IP 全部 Deny
然後設定接收 email 通知,沒多久你應該就會收到 fortigate 發信告訴你那個 內部 IP 去連接它!
iThome鐵人賽
看影片追技術