火绒安全软件

标题: 关于“爆破攻击防护” [打印本页]

作者: galaxyM 时间: 2024-9-5 08:09
标题: 关于“爆破攻击防护”
火绒中心检测到不少的“爆破攻击防护”提示，针对出现问题的终端也下达过全盘查杀，但是仍然会报错，请问这种问题该如何处理？

作者: 火绒运营专员 时间: 2024-9-5 08:29
关于这个rpc暴破攻击，您看下是否是终端的版本比较低呢？可以考虑升级到最新版本后观察看下

针对smbbv2类型的暴破攻击，考虑可能是病毒或者其他因素触发火绒阈值提示的
建议您优先处理远程地址，先进行查杀，确认无病毒提示后，再确认本地地址机器是否有共享服务或共享打印机。若有的话，可以在不影响业务的情况下临时关闭，看看还有新的拦截日志出现。
远程地址机器上是否有本地地址的凭据，若有的话，可以将凭据删除后重新添加，再观察看看。

作者: galaxyM 时间: 2024-9-5 08:32

火绒运营专员发表于 2024-9-5 08:29
关于这个rpc暴破攻击，您看下是否是终端的版本比较低呢？可以考虑升级到最新版本后观察看下

针对smbbv2类 ...

对本地地址和远程地址都做过全盘查杀，且大部分报错的机器确实是有SMB文件共享和打印机共享的。是因为文件共享引起的吗？

作者: 火绒运营专员 时间: 2024-9-5 08:36

galaxyM 发表于 2024-9-5 08:32
对本地地址和远程地址都做过全盘查杀，且大部分报错的机器确实是有SMB文件共享和打印机共享的。是因为文 ...

若是做过查杀且没有病毒提示的话考虑应该是共享访问触发火绒阈值导致的可以在远程地址上清理下本地的凭据再观察看下

作者: galaxyM 时间: 2024-9-5 09:04

火绒运营专员发表于 2024-9-5 08:36
若是做过查杀且没有病毒提示的话考虑应该是共享访问触发火绒阈值导致的可以在远程地址上清理下本地的 ...

这个“火绒阈值”我可以理解为其他电脑频繁访问共享，火绒判定为网络攻击吗？

作者: 火绒运营专员 时间: 2024-9-5 09:07

galaxyM 发表于 2024-9-5 09:04
这个“火绒阈值”我可以理解为其他电脑频繁访问共享，火绒判定为网络攻击吗？ ...

您可以这样理解超过访问的频次就会判定为攻击然后拦截

作者: galaxyM 时间: 2024-9-5 09:29

火绒运营专员发表于 2024-9-5 09:07
您可以这样理解超过访问的频次就会判定为攻击然后拦截

好的，但是这个拦截会影响本地的共享文件访问、共享打印机进程吗？

作者: 火绒运营专员 时间: 2024-9-5 09:32
本帖最后由火绒运营专员于 2024-9-5 09:34 编辑

galaxyM 发表于 2024-9-5 09:29
好的，但是这个拦截会影响本地的共享文件访问、共享打印机进程吗？

在触发火绒暴破攻击检测之后的60s会拉黑远程IP对本机的访问。如对远程IP的爆破行为（访问行为）可信，可添加白名单，白名单内的IP不再记录暴破日志。

作者: galaxyM 时间: 2024-9-5 18:56

火绒运营专员发表于 2024-9-5 09:07
您可以这样理解超过访问的频次就会判定为攻击然后拦截

再想请问一下，这个阈值可以改吗？一台共享服务器一天可能会报上百条攻击，把真正重要的告警都挤下去了

作者: 火绒运营专员 时间: 2024-9-5 18:59

galaxyM 发表于 2024-9-5 18:56
再想请问一下，这个阈值可以改吗？一台共享服务器一天可能会报上百条攻击，把真正重要的告警都挤下去了 ...

您好，这个阈值是无法更改的

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)