远程桌面一直被扫描，安全日志里没有体现

cnhhwy · 发表于 2019-12-14 19:22:59

一直用火绒，然后上上个星期中了后缀为angus的勒索病毒，这个星期中了后缀是wiki的勒索病毒，应当是弱口令的原因和安全策略的原因。已重做系统，这次加强了安全策略，看日志还是一直被扫描，但没有在火绒的安全日志里体现，不知原因。

windows日志和火绒附上

火绒运营专员 · 发表于 2019-12-15 09:29:34

您好，您所提供的文件已收到，分析检测后给您回复~

火绒运营专员 · 发表于 2019-12-15 16:45:12

您好，您设置自定义ip协议控制，分别添加对3389端口和445端口的阻止访问，然后看看日志是否存在拦截ip，之后跟帖反馈~

火绒运营专员 · 发表于 2019-12-17 17:59:28

您好，您那边的问题处理的怎么样了呀？

cnhhwy · 发表于 2019-12-17 23:03:32

反馈下，加了自定义IP规则后火绒日志有提示了。看样子是3389.

cnhhwy · 发表于 2019-12-17 23:11:42

自定义规则后有了提示，看样子是3389的原因。不知为什么没提示，先加黑名单了。

火绒运营专员 · 发表于 2019-12-18 11:38:26

cnhhwy 发表于 2019-12-17 23:11
自定义规则后有了提示，看样子是3389的原因。不知为什么没提示，先加黑名单了。 ...

您加QQ：2109561508我们详细沟通帮您看下~

cnhhwy · 发表于 2019-12-18 16:10:46

技术人员远程协助了，原因是没有到到暴力攻击的阀值，并给出了很好的加固建议。感谢。

火绒运营专员 · 发表于 2019-12-18 16:24:51

cnhhwy 发表于 2019-12-18 16:10
技术人员远程协助了，原因是没有到到暴力攻击的阀值，并给出了很好的加固建议。感谢。 ...

您后期有问题，可随时通过在论坛发帖联系我们，感谢您的反馈