火绒安全软件

标题: 防护项目：远程WMI调用 [打印本页]

作者: Savoir007 时间: 2024-8-1 21:34
标题: 防护项目：远程WMI调用
防护项目：远程WMI调用
我换了IP还是被攻击，大佬有没有哈办法

作者: Savoir007 时间: 2024-8-1 21:45
而且被人家这样搞了一个月了大佬有啥办法

作者: Savoir007 时间: 2024-8-2 09:16
有大佬吗看一下感觉RPC人家都在访问了

作者: 火绒运营专员 时间: 2024-8-2 09:19
您好，远程WMI调用需要知道用户名和密码正确且用户有管理员权限，火绒已为您拦截相应动作，建议修改本机的账户密码，防止泄露。另外一些软件的更新或者域策略也可能触犯该规则

作者: Savoir007 时间: 2024-8-2 09:47
不一定是攻击吗

作者: 火绒运营专员 时间: 2024-8-2 09:49

Savoir007 发表于 2024-8-2 09:47
不一定是攻击吗

您好，远程的电脑与本机有什么关联吗

作者: Savoir007 时间: 2024-8-2 09:50
可是感觉不像因为多个不同的IP 使用不同的端口横向攻击 RPC访问这样搞我搞了一周多了

作者: Savoir007 时间: 2024-8-2 09:53
没有关联我查了IP38 都是深圳北京的
我中途都换IP地址呢但是还是有这样的情况发生

作者: 火绒运营专员 时间: 2024-8-2 09:53

Savoir007 发表于 2024-8-2 09:50
可是感觉不像因为多个不同的IP 使用不同的端口横向攻击 RPC访问这样搞我搞了一周多了 ...

您可以使用火绒软件IP协议控制暂时关闭一下135端口。

作者: Savoir007 时间: 2024-8-2 09:55
大佬全盘扫描也没发现东西进程已没有可疑进程
有啥办法可以确定这玩意不

作者: 火绒运营专员 时间: 2024-8-2 09:57

Savoir007 发表于 2024-8-2 09:55
大佬全盘扫描也没发现东西进程已没有可疑进程
有啥办法可以确定这玩意不 ...

您好，可以看到这的回复吗？您可以使用火绒软件IP协议控制暂时关闭一下135端口。

作者: Savoir007 时间: 2024-8-2 09:58
IP控制，访问协议控制里面已经封禁135端口呢

作者: Savoir007 时间: 2024-8-2 10:01
大佬有啥排查手段没，是不是我本地被埋雷了，因为我可以换了IP 他还是接着在横向爆破 RPC访问

作者: Savoir007 时间: 2024-8-2 10:03
这个出口IP都换了大佬你的iP地址是：183..xx..xx .xx 来自：广东省广州市电信
IP38查村出来的出口IP都换了他为啥还能找到我

作者: 火绒运营专员 时间: 2024-8-2 10:05

Savoir007 发表于 2024-8-2 10:03
这个出口IP都换了大佬你的iP地址是：183..xx..xx .xx 来自：广东省广州市电信
IP38查村出来的出口IP都换 ...

您可以找到

这台机器吗？找到可以部署火绒软件全盘查杀+专杀工具扫一遍

作者: Savoir007 时间: 2024-8-2 10:13
这不是我们的机器（而且不这一个这段时间至少有十几个）哪怕我换了IP 他还是在搞我不是局域网大佬我是互联网我的IP是互联网出口IP 有独立出口IP

作者: 火绒运营专员 时间: 2024-8-2 10:16

Savoir007 发表于 2024-8-2 10:13
这不是我们的机器（而且不这一个这段时间至少有十几个）哪怕我换了IP 他还是在搞我不是局域网大佬我是 ...

好的，您有观察远程IP地址都访问的是您135端口吗？如果是，您关闭端口即可，观察一下日志异常。

作者: Savoir007 时间: 2024-8-2 10:46

火绒运营专员发表于 2024-8-2 10:05
您可以找到这台机器吗？找到可以部署火绒软件全盘查杀+专杀工具扫一遍

大佬不是我们机子我是互联网不是局域网就是想排除一下本地有没有问题

作者: 火绒运营专员 时间: 2024-8-2 10:48

Savoir007 发表于 2024-8-2 10:46
大佬不是我们机子我是互联网不是局域网就是想排除一下本地有没有问题 ...

好的

作者: Savoir007 时间: 2024-8-2 11:31
大佬我不是局域网我是互联网环境那个机子不是我们的我本机是不是

作者: 火绒运营专员 时间: 2024-8-2 11:33

Savoir007 发表于 2024-8-2 11:31
大佬我不是局域网我是互联网环境那个机子不是我们的我本机是不是

您本机关闭135端口即可，近期观察一下火绒软件安全日志，异常您随时联系

作者: Savoir007 时间: 2024-8-2 11:37
刚刚又在访问我们135端口日志显示被阻止所以说是我只关心我本地电脑是不是出问题了

作者: 火绒运营专员 时间: 2024-8-2 11:38

Savoir007 发表于 2024-8-2 11:37
刚刚又在访问我们135端口日志显示被阻止所以说是我只关心我本地电脑是不是出问题了 ...

是的，本地电脑您也可以操作进网络安全模式下全盘查杀+专杀工具扫一遍

作者: Savoir007 时间: 2024-8-2 11:40
规则名称：IP协议规则
协议：TCP
远程地址：198.235.24.109:52516
本地地址：183.63.133.11:135
触犯动作：联入
操作结果：已阻止

进程ID：0
操作进程：Idle

作者: Savoir007 时间: 2024-8-2 11:44

肯定已经查杀过了所以很纳闷
病毒库时间：2024-08-01 18:59
开始时间：2024-08-02 09:43
总计用时：00:10:38
扫描对象：318014
扫描文件：246400
发现风险：0
已处理风险：0

作者: 火绒运营专员 时间: 2024-8-2 11:45

Savoir007 发表于 2024-8-2 11:40
规则名称：IP协议规则
协议：TCP
远程地址：198.235.24.109:52516

您好，本机电脑您先查杀一下，可以使用通过漏洞修复打一下补丁。您这边有什么对外的业务吗

作者: Savoir007 时间: 2024-8-2 11:50

火绒运营专员发表于 2024-8-2 11:45
您好，本机电脑您先查杀一下，可以使用通过漏洞修复打一下补丁。您这边有什么对外的业务吗 ...

作者: 火绒运营专员 时间: 2024-8-2 11:52

Savoir007 发表于 2024-8-2 11:50
肯定已经查杀过了所以很纳闷
病毒库时间：2024-08-01 18:59
开始时间：2024-08-02 09:43

您可以留一下QQ吗

作者: 火绒运营专员 时间: 2024-8-5 14:29
您好,方便留一下QQ沟通吗

作者: 火绒运营专员 时间: 2024-8-7 16:42
您好，您的电脑问题解决了吗？

作者: 火绒运营专员 时间: 2024-8-8 16:06
您好，查看您长时间未回复，本问题将不再跟进，如遇其他问题，请您重新发帖反馈~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)