求救! 區網整個中毒，連監視器都在往外面丟垃圾，我該怎麼開始善後

區網中毒常用port forti 監視器

我就是我 2023-06-02 14:22:54 ‧ 3602 瀏覽

分享至

0605更新
早上跟我們家的廠商討論了一下
是大家說的內部攻擊，POLICY的部分目前算是有補上一些，影響範圍沒有再擴大

監視器的部分目前把對外都鎖起來了，但它內部還是在攻擊MAIL SERVER

目前我們這樣看是SERVER更新導致這次的攻擊事情

但因為我們也沒有直接證據...所以只能要求廠商恩...

會再連絡監視器廠商把硬碟格式化+韌體更新

但想要跟大家詢問的問題是

電腦跟信箱改了密碼，修改完之後原本OK沒問題

但隔了一小段時間，這些電腦的IP還是會送怪訊號出去

想問問大家有什麼想法嗎，謝謝

-------------以下為之前的發文-------------

https://ithelp.ithome.com.tw/questions/10213131

這是我前幾天的發問

後來跟FW的工程師討論跟更新FW的POLICY

發現原來我家的設備，包含監視器、印表機都在往外面丟垃圾

我跟同事都沒有處理過這種恐怖的情形

目前看起來是PORT SCAN的攻擊，想詢問各位先進學長姐們

有沒有什麼好的處理方針，我跟同事已經燒破腦了..

目前FORTI上有抓常見的高風險IP，禁止我們家設備輸出或被連進了...

看更多先前的討論...收起先前的討論...

froce iT邦大師 1 級 ‧ 2023-06-02 14:47:57 檢舉

設備來源先離線啊

我就是我 iT邦新手 3 級 ‧ 2023-06-02 15:07:55 檢舉

他PORT SCAN....目前看起來連監視器跟印表機都有....這樣也要隔嗎XD

小處成就大事 iT邦研究生 3 級 ‧ 2023-06-02 15:10:23 檢舉

192.168.1.166先斷網吧，然後再進行掃毒。

我就是我 iT邦新手 3 級 ‧ 2023-06-02 15:12:36 檢舉

這一隻是監視器的IP....看來我只能先關掉外對內連線，然後請監視器廠商來過重灌&更新，謝謝!

小處成就大事 iT邦研究生 3 級 ‧ 2023-06-02 15:21:41 檢舉

你們家的監視器，是可以透過手機APP觀看監視器畫面的嗎？

我就是我 iT邦新手 3 級 ‧ 2023-06-02 15:50:07 檢舉

沒錯，剛剛跟長官取得同意，現在發信要跟其他部門的長官報告要把外對內的連線都關掉，只剩區網裡可以遠端使用監視器了
後面把區網清乾淨再來弄監視器主機

望空 iT邦新手 3 級 ‧ 2023-06-02 16:24:56 檢舉

1. .1.166這台設備拔掉
2. 找專業團隊協助進行公司內網IP掃描，看是不是還有其他設備在發送不正常的封包及流量
3. 準備開始寫資安事件報告...

窮嘶發發發 iT邦高手 1 級 ‧ 2023-06-02 17:36:53 檢舉

這是ARP 內部攻擊事件，攻擊的都是內部IP，而且有一個固定的跳板IP，個人解讀是這樣

我就是我 iT邦新手 3 級 ‧ 2023-06-05 13:52:58 檢舉

@望空事件結束後會寫...
@窮嘶發發發 ARP的攻擊跟我們家的情況不太一樣~~~但我們家內部看起來是有被當跳板，只是不知道是哪台/哪幾台在跳

窮嘶發發發 iT邦高手 1 級 ‧ 2023-06-06 10:09:05 檢舉

如果是我，我會先查 169 開頭這各IP，這各IP 是 APIPA 的網段，先查他的 MAC，看一下他到底是哪一台跑出來的，基本懷疑就是 166 這台，接下來，查 166 這台開了那些監聽服務，這些監聽服務的網路封包傳遞狀況，先隔離監視器跟內部網路，讓這兩個網段只能透過FW 連接，假如監視主機有對外開PORT，請先關掉，IT 對資安千萬不能忽視，相關的訓練跟學習一定要跟上業界的腳步，就算跟不上，至少一年花幾百萬外包出去給優良廠商維護，你出狀況才找，都來不及，因為沒有元，就沒有責任，你只有痛一次才會想到用足夠的預算避免這各狀況

登入發表討論