iT邦幫忙

0

查看內網每台pc的流量軟體

有時都會收到hinet寄來的信件,如下
你的內部主機: xxx.xxx.xxx.007, 被偵測到有大量異常的 CGI-view_source-access 對外可疑攻擊行為, 這部電腦可能已經被病毒或惡意程式感染, 請利用防毒軟體掃描您的電腦. HN號碼: 11111111 來源IP: xxx.xxx.xxx.007 目標IP: 203.69.138.43 時間 : 2010/6/17 10:19:55

但不知道是內部那一台電腦有問題,看防毒軟體也沒有任何中毒訊息,再去看防火牆也沒什麼異狀,請問有沒有任何軟體可以看是那一台在作怪,有沒有辦法能顯示是內部那個ip出問題,等到hinet通知都太晚了,也看不出來,在swith管理介面也看也沒任何流量大,等於都後知後覺,不知道其他大大在管理網路這方面平常都用什麼軟體在監控每台pc流量是否有問題?或者監控網站流量正常不正常

伺服器3台,pc+nb約三十多台
目前配備:fortinet 60M + HP ProCurve 2650
防毒軟體:卡巴斯基 r2版

2 個回答

10
smalllun
iT邦研究生 5 級 ‧ 2010-06-17 11:57:30
最佳解答

從中華電信提供的資訊來看,有收到大量異常的CGI-view_source-access。
查了一下,似乎是有在跑cgi服務的伺服器所發出來的。
參考資料如下:
http://www.l7.com.tw/security/AttackDB\_detail.php?LID=2716&page=73

wenchan iT邦新手 5 級 ‧ 2010-06-17 12:01:41 檢舉

這能看出什麼端倪嗎?能告訴我該如何做嗎?目前我是很想知道是那台pc出問題,CGI-view_source-access在做什麼用的?

smalllun iT邦研究生 5 級 ‧ 2010-06-17 13:51:55 檢舉

我認為應該是在伺服器3台所發送的,檢查一下那三台是否有跑cgi服務,另外在看一下那三台伺服器是不是從來源IP: xxx.xxx.xxx.007發出去的,在配合樓下的大大將policy設定deny,檢查log或設定mail試試看吧!

smalllun iT邦研究生 5 級 ‧ 2010-06-17 13:53:06 檢舉

補充:提供fortinet 60系列的使用手冊(簡體中文版)
http://docs.fortinet.com/int/cn/fgt/3.0/FortiGate\_60\_series\_Install\_Guide.pdf

8
tombo
iT邦高手 1 級 ‧ 2010-06-17 13:03:32

wenchan提到:
203.69.138.43

我的做法會是,在 Fortigate 上面設定把連到 203.69.138.43 這個 IP 全部 Deny
然後設定接收 email 通知,沒多久你應該就會收到 fortigate 發信告訴你那個 內部 IP 去連接它!

wenchan iT邦新手 5 級 ‧ 2010-06-17 13:15:19 檢舉

怎麼設定e-mail通知,在介面上沒看過有這個選項,可否說明清楚設定,謝謝

tombo iT邦高手 1 級 ‧ 2010-06-17 14:27:17 檢舉

wenchan提到:
怎麼設定e-mail通知,在介面上沒看過有這個選項,可否說明清楚設定,謝謝

Log

tombo iT邦高手 1 級 ‧ 2010-06-17 14:30:40 檢舉

wenchan提到:
怎麼設定e-mail通知,在介面上沒看過有這個選項,可否說明清楚設定

我手邊沒有 60系列,只有 80C
在紀錄與報表中,
你需要設定 SMTP Server, 收信人E-Mail Address,
再來就是勾選你要看哪些 Log
或是設定e-Mail 通知等級,只要是警示(Warning)就可以抓到

我要發表回答

立即登入回答