火绒安全软件

标题: 关于“爆破攻击防护” [打印本页]

作者: galaxyM    时间: 2024-9-5 08:09
标题: 关于“爆破攻击防护”
火绒中心检测到不少的“爆破攻击防护”提示,针对出现问题的终端也下达过全盘查杀,但是仍然会报错,请问这种问题该如何处理?


作者: 火绒运营专员    时间: 2024-9-5 08:29
关于这个rpc暴破攻击,您看下是否是终端的版本比较低呢?可以考虑升级到最新版本后观察看下

针对smbbv2类型的暴破攻击,考虑可能是病毒或者其他因素触发火绒阈值提示的
建议您优先处理远程地址,先进行查杀,确认无病毒提示后,再确认本地地址机器是否有共享服务或共享打印机。若有的话,可以在不影响业务的情况下临时关闭,看看还有新的拦截日志出现。
远程地址机器上是否有本地地址的凭据,若有的话,可以将凭据删除后重新添加,再观察看看。
作者: galaxyM    时间: 2024-9-5 08:32
火绒运营专员 发表于 2024-9-5 08:29
关于这个rpc暴破攻击,您看下是否是终端的版本比较低呢?可以考虑升级到最新版本后观察看下

针对smbbv2类 ...

对本地地址和远程地址都做过全盘查杀,且大部分报错的机器确实是有SMB文件共享和打印机共享的。是因为文件共享引起的吗?
作者: 火绒运营专员    时间: 2024-9-5 08:36
galaxyM 发表于 2024-9-5 08:32
对本地地址和远程地址都做过全盘查杀,且大部分报错的机器确实是有SMB文件共享和打印机共享的。是因为文 ...

若是做过查杀且没有病毒提示的话  考虑应该是共享访问触发火绒阈值导致的  可以在远程地址上清理下本地的凭据再观察看下
作者: galaxyM    时间: 2024-9-5 09:04
火绒运营专员 发表于 2024-9-5 08:36
若是做过查杀且没有病毒提示的话  考虑应该是共享访问触发火绒阈值导致的  可以在远程地址上清理下本地的 ...

这个“火绒阈值”我可以理解为其他电脑频繁访问共享,火绒判定为网络攻击吗?
作者: 火绒运营专员    时间: 2024-9-5 09:07
galaxyM 发表于 2024-9-5 09:04
这个“火绒阈值”我可以理解为其他电脑频繁访问共享,火绒判定为网络攻击吗? ...

您可以这样理解 超过访问的频次 就会判定为攻击 然后拦截
作者: galaxyM    时间: 2024-9-5 09:29
火绒运营专员 发表于 2024-9-5 09:07
您可以这样理解 超过访问的频次 就会判定为攻击 然后拦截

好的,但是这个拦截会影响本地的共享文件访问、共享打印机进程吗?
作者: 火绒运营专员    时间: 2024-9-5 09:32
本帖最后由 火绒运营专员 于 2024-9-5 09:34 编辑
galaxyM 发表于 2024-9-5 09:29
好的,但是这个拦截会影响本地的共享文件访问、共享打印机进程吗?

在触发火绒暴破攻击检测之后的60s会拉黑远程IP对本机的访问。如对远程IP的爆破行为(访问行为)可信,可添加白名单,白名单内的IP不再记录暴破日志。
作者: galaxyM    时间: 2024-9-5 18:56
火绒运营专员 发表于 2024-9-5 09:07
您可以这样理解 超过访问的频次 就会判定为攻击 然后拦截

再想请问一下,这个阈值可以改吗?一台共享服务器一天可能会报上百条攻击,把真正重要的告警都挤下去了
作者: 火绒运营专员    时间: 2024-9-5 18:59
galaxyM 发表于 2024-9-5 18:56
再想请问一下,这个阈值可以改吗?一台共享服务器一天可能会报上百条攻击,把真正重要的告警都挤下去了 ...

您好,这个阈值是无法更改的




欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4