iT邦幫忙

0

請問這是否真的是網頁被攻擊的警告

各位前輩好,

昨晚(今日凌晨)發生的事,

我老闆點公司的網站,出現下列錯誤訊息:

當時他以手機連WIFI(應不在公司,因為是半夜一點多),

早上進公司檢查網站主機當機(鍵盤滑鼠都沒反應),索性強制重開

之後就正常,

詢問我司的網路業者種花,

查防火牆流量紀錄看近一天的是正常(下載不超過5KB以內,上傳不超過1KB)

請我再觀察看看...但老闆今天就要給他一個滿意的答覆

且這是小弟第一次看過此畫面顯示,目前仍上網尋找是否有相關的問題

我司 DNS 自管, 主機與 WEB同一台, Windows 2K3 SBS SP2.

網站很簡單,僅顯示我司的說明而已,無互動性.

請教是否有前輩處理過這問題?

http://ithelp.ithome.com.tw/upload/images/20171005/201020730gExahLOlF.png

感謝小財神協助指導上傳圖片視窗問題!

看更多先前的討論...收起先前的討論...
lard0921 iT邦新手 5 級 ‧ 2017-10-05 11:52:00 檢舉
我老闆點公司的網站,出現下列錯誤訊息:????
所以錯誤訊息是?
fillano iT邦超人 1 級 ‧ 2017-10-05 12:02:30 檢舉
感覺並不是網站主機有問題,而是瀏覽網站的機器有問題。
msnman iT邦研究生 3 級 ‧ 2017-10-05 13:17:33 檢舉
請查看事件檢視器的應用程式與系統
通常是CPU過度頻繁~要看你執行什麼常駐程式造成的~
不過建議~換新系統吧...微軟都不支援更新了~
夏威夷 iT邦新手 5 級 ‧ 2017-10-05 16:37:20 檢舉
lard0921 前輩 抱歉,不小心把錯誤的顯示訊息放到最後...
Blocked because of IPS attack (這行是紫色底)

An attack was detected, originating from your system. Please contact the system administrator.
夏威夷 iT邦新手 5 級 ‧ 2017-10-05 16:47:35 檢舉
fillano 前輩,瀏覽網站的機器是老闆的手機(iPhone)...我有想過是不是老闆家的網路.
夏威夷 iT邦新手 5 級 ‧ 2017-10-05 16:50:22 檢舉
msnman前輩,
檢視器的內容10/3 12:13開始~ 10/5 9:06 完全沒紀錄......
昨天下午我還有連線過網站是正常(也有F5重整)
夏威夷 iT邦新手 5 級 ‧ 2017-10-05 16:53:32 檢舉
純真的人前輩, 常駐程式只有兩個, 一是防毒Server, 另一是外部DNS

建議過幾次換機(機器還很老舊),無疾而終...
2003 啊,不意外,這年頭還有人敢用2003 當 WEB SERVER 對外服務的,真是膽大心細啊
樓下的兩個回答都是針對防火牆去處理,但是2003本身的安全性缺陷就是在哪,
有時候攻擊不是在外部,而是內部,以前當學生的時候,裝好2003只要上了網路線,就直接當機給你看
因為在沒有任何的防護下,2003直接被內部攻擊淹沒,那時候教室可是把對外網路拔掉了,不可能有外部攻擊的,同樣的,我那都是十年前的事情了,現在的環境對 2003 更嚴苛,攻擊會更多,
所以,這年頭敢用 2003 對外的,真的太猛了
夏威夷 iT邦新手 5 級 ‧ 2017-10-11 11:07:12 檢舉
窮嘶發發發前輩,謝謝您的經驗分享,與其說膽大心細,小弟有更適合的成語在我司的環境...

2 個回答

0
mathewkl
iT邦新手 4 級 ‧ 2017-10-05 15:49:11
最佳解答

我FortiGate有遇過

當時因為FortiGate偵測到攻擊性行為所以把IP封鎖,該IP對外連線全部Block
把IP封鎖解除可以暫時解決

不過一定是有原因才會鎖,所以你要查是什麼原因
不然就有機會有下一次,至於什麼原因觸發的只有在公司的你知道哪邊可以翻log看了

夏威夷 iT邦新手 5 級 ‧ 2017-10-05 17:48:14 檢舉

mathewkl前輩,謝謝您的資訊,我找到記錄了,前一個月有將IPS的「監視」改為「隔離」設定,
原因我會繼續查下去,感謝您!
下方是IPS阻擋說明給我的網址連結:
http://fortiguard.com/encyclopedia/ips/107347981

mathewkl iT邦新手 4 級 ‧ 2017-10-06 14:39:18 檢舉

FortiGate無法判別你老闆通過80port時用的瀏覽器,認為有問題

0
mytiny
iT邦大師 1 級 ‧ 2017-10-05 13:25:41

如果是樓主老闆點開網頁出現的訊息
應該是防火牆的IPS偵測到入侵行為而予以阻擋

可惜樓主是跟種花買的設備
只能自己去分析一下防火牆的IPS紀錄了
如果老闆要一個滿意的答覆
就查出紀錄後告訴老闆的手機有問題
(最怕是有一堆detect但沒有block的紀錄)
請他最好仔細查察,以免之後有更嚴重狀況

夏威夷 iT邦新手 5 級 ‧ 2017-10-05 17:03:26 檢舉

mytiny 前輩,「防火牆的IPS偵測到入侵行為而予以阻擋」是指我司的防火牆偵測到老闆家的網路IP是入侵行為嗎?

我司的IPS偵測有幾個block紀錄,但不在時間點上,而且IP是國外

也問過中華電信,確認過這一天多當沒人在用網路時的連線狀況穩定,沒有攻擊跡象(中華電信同時說很但難保證連線穩定不代表沒攻擊)...

夏威夷 iT邦新手 5 級 ‧ 2017-10-05 17:44:36 檢舉

謝謝mytiny前輩,找到我司防火牆IPS的阻擋紀錄了!

我要發表回答

立即登入回答