iT邦幫忙

0

木馬? IP未使用卻監控到NAT連線

上個月公司伺服器遭到kupiddion 加密病毒的公司,因此最近不斷的監控AP的連線狀態,發現一個驚人的情況是,中毒的伺服器IP已經改掉並且網路線拔除關機了,但NAT上面不斷的監控到沒有使用的舊IP不停的產生NAT連線
https://ithelp.ithome.com.tw/upload/images/20200713/20128167flqo86gCFQ.png

初步懷疑區網內某電腦有木馬病毒作祟,但遇到這種情況真的不知道該從何著手來處理防範

看更多先前的討論...收起先前的討論...
nansen iT邦新手 2 級 ‧ 2020-07-13 12:02:31 檢舉
從Router上看那個IP的MAC是多少,在用MAC address去追機器是哪一台,說不定只是IP被其他機器占用
你把這台分享器級的路由器重開,上面的連線應該只是被Cached起來的記錄
HoyaT iT邦新手 5 級 ‧ 2020-07-13 14:14:48 檢舉
回答一下上述問題
1.ping不到該IP, 而且資料監控或是DHCP配發狀態完全沒有該IP ,嚴格說起來該IP當下根本不在區網內
2.紀錄是路由器重開過並且重新整理過才拍照的
allen1975 iT邦新手 2 級 ‧ 2020-07-13 18:32:11 檢舉
不知道公司電腦數量多少. 有無網管交換機
如果有應該可以把範圍縮小很多.
nansen iT邦新手 2 級 ‧ 2020-07-14 09:09:50 檢舉
1. ICMP關掉就ping不到不表示不存在
2. DHCP配發使用手動設定IP或由其他台DHCP配發則不會顯示
在同一區網下ping該ip後查詢ARP table是否有mac address一翻兩瞪眼
網路會通L2就不會造假
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
mytiny
iT邦超人 1 級 ‧ 2020-07-13 14:55:50
最佳解答

樓主需要更多個工具來蒐集資料作研判
在發生資安事故之後
通常內網中的怪異IP都做不得準
尤其IP最容易假造,MAC有時也不一定正確
所以會需要一些身分的驗證綜合來確定

至於目前的情況,清查資產是必須的
有工具的話,可以看出來設備MAC所得到IP與接口位置的相關性
如果主機曾經有過資安事故
務必清查AD內的帳戶現況與權限
最好能將Server與Client區隔網段
中間的聯繫務必要有AV與IPS防護檢測

由於貴公司內部清況不明
在下僅能依據經驗猜測判斷給予建議
如有錯謬之處還請見諒!

HoyaT iT邦新手 5 級 ‧ 2020-08-27 23:12:12 檢舉

看起來的確需要一系列的清查動作, 但已經可以確定的是那台server的確有中毒, 重灌後目前正常

另外好奇的問一下 AD的 Server 與Client可以是不同網域阿? 不太懂您說的AV與IPS是什麼 再來研究看看

mytiny iT邦超人 1 級 ‧ 2020-08-28 10:15:59 檢舉

最簡單的來說,就是讓Serevr與Client不同網段(不是網域)
這個區隔不是僅用VLAN而是有NGFW或UTM的防火牆
當這樣經防火牆的網段流量就可以做IPS/AV的資安檢查

不過這只是最初步的架構
因為在現階段,AD(或server)被入侵感染的情況很頻繁
才會建議要常常檢查,不要放著都不管,等出事就來不及

0

https://ithelp.ithome.com.tw/upload/images/20200714/20001416JPxDiGcOim.png

Vigor 提供將 syslog 寫入 USB
這樣就可以明確看出問題點

HoyaT iT邦新手 5 級 ‧ 2020-08-27 23:09:32 檢舉

看起來是蠕蟲病毒搞得鬼, 安裝新的防毒軟體後,都會定時跳出偵測到v.exe的蠕蟲病毒出現, 看起來無法根治最後只能重灌系統

不過謝謝你的寶貴建議

我要發表回答

立即登入回答