iT邦幫忙

0

病毒攻擊

想請問一下,我們目前有幾台server一直收到防毒的警報(Office scan)
病毒為TROJ_EQUATED.J,應該是利用MS17-010的漏洞攻擊

目前不管怎麼樣清除一段時間後都會再收到攻擊警報
想確認的是:
1.到底是那幾台server本身中毒
2.還是因為它們內建防火牆沒開所以一直被攻擊?

其他沒事的server防火牆都有開,而且更新都到最新了。
因為那幾台有特殊用途,所以暫時不打算開內建防火牆
還是有辦法不開內建防火牆的情況下阻擋445port呢?

CalvinKuo iT邦大師 7 級 ‧ 2019-03-25 11:11:31 檢舉
先確認這幾台有無對外開放Port 445(或者直接聯外網),再來MS17-10修正程式已經部署的話,至少不會再擴大。再來就是找出區網內哪台中毒或隔離區網手機PDA連線。這幾台通常開分享,若是舊機都升級的話,停用SMBv1吧.
https://docs.microsoft.com/zh-tw/security-updates/securitybulletins/2017/ms17-010
阿輪 iT邦新手 5 級 ‧ 2019-03-25 13:45:17 檢舉
有開445,因為內建防火牆是關的,外網是沒有,因為這次攻擊是內網發動的...
是有找到攻擊源,不過實在太多了,還沒處理完。

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2019-03-25 12:11:06

最近網內互打的案例有增多的趨勢
可以參考在下在這一篇的看法,
什麼掃毒軟體比較好用?

猜想樓主的Server前方並沒有NGFW做防護
Server與Server之間也是網路互通
PC與PC或各設備之間也是網路互通
這種"會通就好"的觀念或許以前很適用
但在近年的網路管理或資訊安全可就非常危險

在下建議還是將Server放在NGFW後方作保護吧
所謂有特殊用途,暫時不打算開內建防火牆
樓主在前方又不加任何網路防護
更何況已經知道一直有漏洞攻擊
難不成是打算靠備份&還原撐過資安事件的發生嗎?

阿輪 iT邦新手 5 級 ‧ 2019-03-25 13:43:22 檢舉

我們是有準備要導入主動式防毒
不過在導入前就中了,現在是要想辦法解決
那幾台server不是我們管的,不然真想直接打開防火牆去做測試...

mytiny iT邦大師 1 級 ‧ 2019-03-25 15:23:43 檢舉

提醒樓主,Server與Server之間也要做防護
目前不是納管的server更要與其他主機做區隔
否則嗣後責任難以釐清

如果,攻擊源太多
請務必費心盡快清理戰場
以免爆發新型攻擊時首先遭殃

我要發表回答

立即登入回答