查询最近 3 天内, 5 月 11 日到 5 月 13 日内网协议 SMB 的情况.
(图: SMB 协议使用情况)
(图: 172.31.215.4 使用 SMB 协议情况)
可见 IP 为 172.31.215.4 的主机 SMB 协议开启, 使用 445 端口. 目标地址为国外各个地址, 有美国, 日本, 英国等. 基本判断内网中 172.31.215.4 这台主机有疑似迹象.
(图: 172.31.215.4 登录界面)
虽然该主机使用 SMB 服务发送流量, 但是被防火墙策略阻拦, 被限制住, 没有影响内网安全.
(图: 172.31.215.4 主机 MAC 地址为 00-ff-0b-80-b9-89)
(图: mac 地址查询信息)
3. 结论
1)172.31.215.4 有漏洞迹象, 疯狂发送 SMB 服务;
2) 内网没有发现其他漏洞迹象;
3) 防火墙策略阻止了病毒的影响;
4)172.31.215.4 这台主机的 MAC 地址为 00-ff-0b-80-b9-89;
5) 基本可以判断该主机使用时间较长.
4. 建议解决办法
172.31.215.4 这台主机不是虚拟机, 而是实际服务器, 使用者是网络信息部门, 推测为传输设备网管服务器.
该服务器的情况未知, 并没有登记在我们的维护清单中, 不知晓账户密码.
登录该服务器, 进行病毒查杀和更新补丁.
来源: http://blog.51cto.com/11555417/2116318