理解SEP11日志条目
我有来自SEP的日志条目:
2011-04-05T10:52:37+02:00 SymantecServer SomeServer: SomePC,[SID: 23179]
OS Attack: MS Windows Server Service RPC Handling CVE-2008-4250 detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe,
Local: 10.90.27.172,
Local: 000000000000,
Remote: ,
Remote: 10.90.27.220,
Remote: 000000000000,Inbound,TCP,
Intrusion ID: 0,
Begin: 2011-04-05 10:28:37,
End: 2011-04-05 10:28:37,
Occurrences: 1,
Application: C:/WINDOWS/system32/ntoskrnl.exe,
Location: Default,
User: 123456,
Domain: SomeDomain我想确认一下我正确地理解了这一点。这是TCP入站通信。Iow远程IP 10.90.27.220试图暴露本地计算机上的一些漏洞: 10.90.27.172
所以我们应该更担心远程机器而不是本地机器。或者是相反的情况?
回答 4
Server Fault用户
发布于 2012-02-03 15:30:46
袭击者: 10.90.27.220受害者: 10.90.27.172
“入站”表示10.90.27.172是受到攻击的机器(可能是生成日志的机器)。
Server Fault用户
发布于 2011-08-24 18:21:13
这取决于你想要修复什么。你可能应该看看10.90.27.220,因为它是最有可能发动攻击的。
Server Fault用户
发布于 2013-05-22 08:49:47
10.90.27.220,由于RFC1918 IP,我认为它在您的控制之下,可能已经被破坏了。它试图利用10.90.27.172上已知的漏洞(CVE-2008-4250,这是RPC处理上的缓冲区溢出攻击)进行攻击。
处理这个问题的方式取决于10.90.27.220是什么样的机器。您可能正在处理端口安全问题(有人已将未经授权的东西连接到您的网络)、防火墙问题(允许连接但不受您的控制)、流氓用户(在您的网络上运行metasploit或其他东西)、或受病毒感染的工作站(或服务器!)等等。
https://serverfault.com/questions/255813
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号