火绒安全任务执行sectask行为被报攻击

xxll · 发表于 2025-6-11 12:19:45

[color=rgba(0, 0, 0, 0.9)]被IPS检测出，sectask.exe 定时连接[color=rgba(0, 0, 0, 0.9)]82.156.139.90，报告：
webshell 反向从本机地址端口，此攻击包含操作系统命令注入攻击、Coldfusion 注入、LDAP 注入和更多其他通用攻击。

麻烦技术支持给个回复。

火绒运营专员 · 发表于 2025-6-11 12:23:18

您好，麻烦您先提供下系统信息以及火绒版本，您这边是内部平台报有攻击信息吗？

xxll · 发表于 2025-6-11 13:15:57

6.0.6.3 病毒库 2025-6-10
内部ips报警：
webshell 检测：访问目的：82.156.139.90 端口 80
通用攻击包含操作系统命令注入攻击、Coldfusion 注入、LDAP 注入和更多其他通用攻击。

火绒运营专员 · 发表于 2025-6-11 13:18:36

xxll 发表于 2025-6-11 13:15
6.0.6.3 病毒库 2025-6-10
内部ips报警：
webshell 检测：访问目的：82.156.139.90 端口 80

您这边提供一下日志

xxll · 发表于 2025-6-11 13:27:57

日志就是这么显示的 , sectask定期访问82.156.139.90 端口 80 是否正常？

火绒运营专员 · 发表于 2025-6-11 13:32:42

xxll 发表于 2025-6-11 13:27
日志就是这么显示的 , sectask定期访问82.156.139.90 端口 80 是否正常？

您好~麻烦您导出全部的日志给我们分析看下哦~

xxll · 发表于 2025-6-11 13:40:24

本帖最后由 xxll 于 2025-6-11 13:41 编辑

火绒日志什么也没有，只有升级信息
是内部防火墙告警，不是火绒告警

火绒运营专员 · 发表于 2025-6-11 13:46:41

xxll 发表于 2025-6-11 13:40
火绒日志什么也没有，只有升级信息
是内部防火墙告警，不是火绒告警

好哒~麻烦您发我下您系统的详细操作版本信息，这边反馈下~

xxll · 发表于 2025-6-11 13:47:52

windows2019 server 中文版，谢谢

火绒运营专员 · 发表于 2025-6-11 13:49:45

xxll 发表于 2025-6-11 13:47
windows2019 server 中文版，谢谢

您客气啦~后续有结果回复您哦~

火绒运营专员 · 发表于 2025-6-11 14:25:32

本帖最后由火绒运营专员于 2025-6-11 14:28 编辑

您好~暂时无法判断sectask定期访问这个ip是否属于正常现象，sectask.exe并不是系统文件。但是这个IP可以网上搜到是关于腾讯云的。如果您不放心的话，可以使用火绒的全盘查杀功能和系统修复功能哦~有异常您可以随时联系我们哦~

xxll · 发表于 2025-6-11 14:44:08

本帖最后由 xxll 于 2025-6-11 14:51 编辑

SecTask.exe是火绒安装目录bin下的文件
火绒卸载后就没有告警了

火绒运营专员 · 发表于 2025-6-11 14:49:15

xxll 发表于 2025-6-11 14:44
SecTask.exe是火绒安装目录bin下的文件

您好~麻烦您留下QQ哦~这边添加您协助处理~或者您加下我们QQ284816209哦~

火绒运营专员 · 发表于 2025-6-11 15:09:21

xxll 发表于 2025-6-11 13:40
火绒日志什么也没有，只有升级信息
是内部防火墙告警，不是火绒告警

您好~内部防火墙报这个的间隔是半小时一次吗~

火绒运营专员 · 发表于 7 天前

您好~内部防火墙报这个的间隔是半小时一次吗~如果半小时一次是正常的哦~

[产品问题] 火绒安全任务执行sectask行为被报攻击