server2008被爆破攻击，协议是SMBv2

jsnjscx

公司的一台服务器火绒经常报爆破攻击，服务器的系统是server2008，服务器在局域网里有共享文件在使用。
应该怎么处理呢？

火绒运营专员

您可以尝试远程攻击的机器上安装火绒，全盘查杀尝试进行解决，感谢您的反馈~

jsnjscx

有的电脑装的是.360，有的装的是电脑管家。都全盘杀过  没有异常。是不是必须要用火绒查杀呢？

火绒运营专员

jsnjscx 发表于 2021-5-26 11:37
有的电脑装的是.360，有的装的是电脑管家。都全盘杀过  没有异常。是不是必须要用火绒查杀呢？
...

您发送的这个日志我看到是火绒的，他对应的远程地址的IP，需要安装下火绒全盘查杀，方便我们为您解决问题的~

jsnjscx

没杀出毒来

火绒运营专员

jsnjscx 发表于 2021-5-26 11:47
没杀出毒来

您好，方便添加QQ2131405990 我们远程看下现场吗，感谢您的反馈~

itboy

我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务器频繁报出“SMBv2爆破攻击防护”，攻击来源就是这台新增的Win10电脑，经过我多次测试，也根据本论坛的一些方法，Win10也火绒装了，全盘杀毒检测都做了，凭证管理也删除了重建，但是没能从根本上解决问题，其中有一个最明显的特点：
【在Win10开机后，在用户登录前，服务器的事件查看器-安全事件中，不会出现“审核失败”的事件，但是Win10的用户登录后几秒后，服务器的事件查看器-安全事件中，立刻会有十几条或者几十条“审核失败”的事件，因此判断，极有可能是存在计划任务或启动服务中】
这其中是Win10的系统问题，还是木马病毒问题，也还不清楚，我目前还没有彻底找到原因，希望有已经解决的朋友，能在这分享一下。
【问题已解决，在13楼】

火绒运营专员

itboy 发表于 2021-5-27 02:54
我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务 ...

您好，方便添加QQ2131405990 我们远程看下现场吗，感谢您的反馈~

火绒运营专员

itboy 发表于 2021-5-27 02:54
我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务 ...

您好，没有收到您的回复，不知道您的问题解决了吗？

火绒运营专员

itboy 发表于 2021-5-27 02:54
我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务 ...

您好，一直没有收到您的回复，不知道您的问题解决了吗？

火绒运营专员

楼主您好，已远程为您解决问题，感谢您的反馈~

火绒运营专员

itboy 发表于 2021-5-27 02:54
我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务 ...

您好，一周内尚未获得您对此问题的相关反馈，如果在后续使用火绒过程中遇到问题可随时联系我们为您解决，感谢您的反馈。

itboy

itboy 发表于 2021-5-27 02:54
我的情况跟你的一样，服务器Server2008，其他用户机都是Win7，前几天增加了一台Win10电脑，然后这几天服务 ...

经过多次测试，该问题是由【腾讯电脑管家】-猎鹰全景防御-进程防护，造成的，关闭进程防护后，服务器事件不再出现审核失败，火绒也不再提示爆破攻击。

火绒运营专员

itboy 发表于 2021-6-6 17:30
经过多次测试，该问题是由【腾讯电脑管家】-猎鹰全景防御-进程防护，造成的，关闭进程防护后，服务器事件 ...

收到

diumadiuba

itboy 发表于 2021-6-6 17:30
经过多次测试，该问题是由【腾讯电脑管家】-猎鹰全景防御-进程防护，造成的，关闭进程防护后，服务器事件 ...

您好 我也出现这种问题，但是我的攻击电脑与被攻击电脑都没有安装过腾讯电脑管家。