iT邦幫忙

0

木馬? IP未使用卻監控到NAT連線

上個月公司伺服器遭到kupiddion 加密病毒的公司,因此最近不斷的監控AP的連線狀態,發現一個驚人的情況是,中毒的伺服器IP已經改掉並且網路線拔除關機了,但NAT上面不斷的監控到沒有使用的舊IP不停的產生NAT連線
https://ithelp.ithome.com.tw/upload/images/20200713/20128167flqo86gCFQ.png

初步懷疑區網內某電腦有木馬病毒作祟,但遇到這種情況真的不知道該從何著手來處理防範

看更多先前的討論...收起先前的討論...
nansen iT邦新手 3 級 ‧ 2020-07-13 12:02:31 檢舉
從Router上看那個IP的MAC是多少,在用MAC address去追機器是哪一台,說不定只是IP被其他機器占用
japhenchen iT邦研究生 1 級 ‧ 2020-07-13 12:45:08 檢舉
你把這台分享器級的路由器重開,上面的連線應該只是被Cached起來的記錄
HoyaT iT邦新手 5 級 ‧ 2020-07-13 14:14:48 檢舉
回答一下上述問題
1.ping不到該IP, 而且資料監控或是DHCP配發狀態完全沒有該IP ,嚴格說起來該IP當下根本不在區網內
2.紀錄是路由器重開過並且重新整理過才拍照的
allen1975 iT邦新手 3 級 ‧ 2020-07-13 18:32:11 檢舉
不知道公司電腦數量多少. 有無網管交換機
如果有應該可以把範圍縮小很多.
nansen iT邦新手 3 級 ‧ 2020-07-14 09:09:50 檢舉
1. ICMP關掉就ping不到不表示不存在
2. DHCP配發使用手動設定IP或由其他台DHCP配發則不會顯示
在同一區網下ping該ip後查詢ARP table是否有mac address一翻兩瞪眼
網路會通L2就不會造假

2 個回答

1
mytiny
iT邦大師 1 級 ‧ 2020-07-13 14:55:50

樓主需要更多個工具來蒐集資料作研判
在發生資安事故之後
通常內網中的怪異IP都做不得準
尤其IP最容易假造,MAC有時也不一定正確
所以會需要一些身分的驗證綜合來確定

至於目前的情況,清查資產是必須的
有工具的話,可以看出來設備MAC所得到IP與接口位置的相關性
如果主機曾經有過資安事故
務必清查AD內的帳戶現況與權限
最好能將Server與Client區隔網段
中間的聯繫務必要有AV與IPS防護檢測

由於貴公司內部清況不明
在下僅能依據經驗猜測判斷給予建議
如有錯謬之處還請見諒!

0
門神JanusLin
iT邦超人 1 級 ‧ 2020-07-14 08:11:07

https://ithelp.ithome.com.tw/upload/images/20200714/20001416JPxDiGcOim.png

Vigor 提供將 syslog 寫入 USB
這樣就可以明確看出問題點

我要發表回答

立即登入回答