我有来自 SEP 的以下日志条目:
2011-04-05T10:52:37+02:00 SymantecServer SomeServer: SomePC,[SID: 23179]
OS Attack: MS Windows Server Service RPC Handling CVE-2008-4250 detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe,
Local: 10.90.27.172,
Local: 000000000000,
Remote: ,
Remote: 10.90.27.220,
Remote: 000000000000,Inbound,TCP,
Intrusion ID: 0,
Begin: 2011-04-05 10:28:37,
End: 2011-04-05 10:28:37,
Occurrences: 1,
Application: C:/WINDOWS/system32/ntoskrnl.exe,
Location: Default,
User: 123456,
Domain: SomeDomain
我想确认我理解的是否正确。这是 TCP 入站通信。也就是说,远程 IP 10.90.27.220 正在尝试暴露本地计算机上的一些漏洞:10.90.27.172
因此,我们应该更担心远程机器,而不是本地机器。还是相反?
答案1
攻击者:10.90.27.220 受害者:10.90.27.172
“入站”表示这10.90.27.172是受到攻击的机器(也可能是生成日志的机器)。
答案2
取决于您要修复的内容。您可能应该查看 10.90.27.220,因为它最有可能发起攻击。
答案3
10.90.27.220(我假设由于 RFC1918 IP 而处于您的控制之下)可能已被攻破。它试图利用已知漏洞(CVE-2008-4250(这是针对 RPC 处理的缓冲区溢出攻击)发生在 10.90.27.172 上。
处理这个问题的方式取决于 10.90.27.220 是什么类型的机器。你可能正在处理端口安全问题(有人将未经授权的东西连接到你的网络)、防火墙问题(允许连接该机器但不受你的控制)、恶意用户(在你的网络上运行 metasploit 或其他程序)或受病毒感染的工作站(或服务器!)等等。
答案4
“入站”表示 10.90.27.172 是受到攻击的机器,攻击者试图访问易受攻击的 ntoskrnl.exe。很明显