Message meets Alert condition
The following intrusion was observed: "Exim.DKIM.DNS.Decoding.Buffer.Overflow".
date=2020-09-25 time=15:54:46 devname=FW-01 devid=FGT81EXXXXXXXXXX logid="0419016384" type="utm" subtype="ips" eventtype="signature" level="alert" vd="root" eventtime=1601020486 severity="medium" srcip=外部IP srccountry="本地" dstip=內部IP srcintf="wan1" srcintfrole="wan" dstintf="port1" dstintfrole="lan" sessionid=63213978 action="dropped" proto=6 service="DNS" policyid=1 attack="Exim.DKIM.DNS.Decoding.Buffer.Overflow" srcport=53 dstport=49594 direction="incoming" attackid=33802 profile="default-1" ref="http://www.fortinet.com/ids/VID33802" incidentserialno=1719639305 msg="name_server: Exim.DKIM.DNS.Decoding.Buffer.Overflow," crscore=10 crlevel="medium"
請問各位大大, 這台是其中一台伺服器, 是不是中了甚麼漏洞? 有在用防毒軟體掃過, 未有發現任何威脅, 防毒軟體是Symantec Endpoint Protection version 14
感謝萬分
根據原廠FortiGuard資料
Exim.DKIM.DNS.Decoding.Buffer.Overflow
這表示攻擊企圖利用Exim MTA中的“緩衝區溢出”漏洞。
該漏洞是由於易受攻擊的軟件處理某些DKIM DNS記錄時發生的錯誤而引起的。遠程攻擊者可能能夠利用此漏洞在應用程序的上下文中執行任意代碼。
建議措施
升級到網站上提供的最新版本。
https://lists.exim.org/lurker/message/20121026.080330.74b9147b.en.html
如果樓主自認沒有該漏洞(其實跟防毒無關)
目前Fortigate已經幫樓主"持續"擋掉Dropped
只是覺得外部一直找麻煩攻擊,很煩人
大可以將該IPS的防護升級為"封鎖"
還可以決定來攻擊的IP被"封鎖多久"
不用一直被人當測試打好玩的
外部攻擊者換啥IP都沒用
直接一律關去"禁閉"
樓主可以試試看