防护项目：远程WMI调用

Savoir007 · 发表于 2024-8-1 21:34:23

防护项目：远程WMI调用
我换了IP还是被攻击，大佬有没有哈办法

Savoir007 · 发表于 2024-8-1 21:45:29

而且被人家这样搞了一个月了大佬有啥办法

Savoir007 · 发表于 2024-8-2 09:16:25

有大佬吗看一下感觉RPC人家都在访问了

火绒运营专员 · 发表于 2024-8-2 09:19:33

您好，远程WMI调用需要知道用户名和密码正确且用户有管理员权限，火绒已为您拦截相应动作，建议修改本机的账户密码，防止泄露。另外一些软件的更新或者域策略也可能触犯该规则

Savoir007 · 发表于 2024-8-2 09:47:32

不一定是攻击吗

火绒运营专员 · 发表于 2024-8-2 09:49:13

Savoir007 发表于 2024-8-2 09:47
不一定是攻击吗

您好，远程的电脑与本机有什么关联吗

Savoir007 · 发表于 2024-8-2 09:50:38

可是感觉不像因为多个不同的IP 使用不同的端口横向攻击 RPC访问这样搞我搞了一周多了

Savoir007 · 发表于 2024-8-2 09:53:28

没有关联我查了IP38 都是深圳北京的
我中途都换IP地址呢但是还是有这样的情况发生

火绒运营专员 · 发表于 2024-8-2 09:53:30

Savoir007 发表于 2024-8-2 09:50
可是感觉不像因为多个不同的IP 使用不同的端口横向攻击 RPC访问这样搞我搞了一周多了 ...

您可以使用火绒软件IP协议控制暂时关闭一下135端口。

Savoir007 · 发表于 2024-8-2 09:55:57

大佬全盘扫描也没发现东西进程已没有可疑进程
有啥办法可以确定这玩意不

火绒运营专员 · 发表于 2024-8-2 09:57:27

Savoir007 发表于 2024-8-2 09:55
大佬全盘扫描也没发现东西进程已没有可疑进程
有啥办法可以确定这玩意不 ...

您好，可以看到这的回复吗？您可以使用火绒软件IP协议控制暂时关闭一下135端口。

Savoir007 · 发表于 2024-8-2 09:58:25

IP控制，访问协议控制里面已经封禁135端口呢

Savoir007 · 发表于 2024-8-2 10:01:16

大佬有啥排查手段没，是不是我本地被埋雷了，因为我可以换了IP 他还是接着在横向爆破 RPC访问

Savoir007 · 发表于 2024-8-2 10:03:49

这个出口IP都换了大佬你的iP地址是：183..xx..xx .xx 来自：广东省广州市电信
IP38查村出来的出口IP都换了他为啥还能找到我

火绒运营专员 · 发表于 2024-8-2 10:05:19

Savoir007 发表于 2024-8-2 10:03
这个出口IP都换了大佬你的iP地址是：183..xx..xx .xx 来自：广东省广州市电信
IP38查村出来的出口IP都换 ...

您可以找到这台机器吗？找到可以部署火绒软件全盘查杀+专杀工具扫一遍