我经常查看防火墙日志,最近我注意到很多 Windows 10 客户端都试图在 IP 10.10.10.1 上打开文件共享(或以其他方式连接到 tcp/445)。由于这个 IP 不存在于我们的网络中(我们只使用 172.16.0.0/12 范围),这让我感到很奇怪。不幸的是,网络在这方面没有太多帮助,因为该 IP 用于数千个路由器配置指南和示例。
执行此类操作的 PC 遍布所有部门,我无法确定这些机器上是否有任何通用软件,除了常见的 MSOffice、Skype、Firefox 等软件。我查看了配置文件和注册表,但那个 IP 无处可寻。所以它很可能是在程序中硬编码的。
由于 IP 不存在,我看到的只是防火墙上的 SYN,我还不知道这些连接试图到达什么地方……也许共享名称可以给出解决方案。但这意味着要设置蜜罐或类似的东西,这需要花费大量时间,所以我把这个想法推到“问 SE”后面 ;-)
我们在 PC 上使用四种不同的 AV 解决方案,因此如果是恶意软件,它们都能发现。此外,如果病毒/蠕虫试图传播到 PC 本地网络之外的 IP,那么它必须是一种相当愚蠢的病毒/蠕虫。
我尝试在其中一台我看到这些连接来自的机器上运行 ProcExp,但监控了一天却没有任何发现。这让我有点不安,因为如果它在某些知名监控软件运行时立即停止连接尝试,它就会指向“恶意”方向。另一方面,这也可能只是纯粹的偶然,或者源自 ProcExp 无法检查的地方(那会是哪里?)。我是一个 Unix/网络专家,我对 Win10 内部的了解有点有限。
是否有其他人看到此情况并且可能指出罪魁祸首?
答案1
- 您应该在防火墙上过滤这些请求。无论您是否使用私有源或目标 IP,它们都不应泄露。
- 使用 检查有问题的 Win PC
netstat -aon- SYN 应该在那里可见。如果请求很少,您可以使用netstat -aon 5 >netstat.log它在一段时间内“监控”连接。(当日志变得太大时,您可能需要像 一样过滤输出netstat -aon 5|find "10.10.10.1" >netstat.log。) - 一旦 SYN 出现在
netstat输出中,您就拥有了进程 IP,并且可以检查该进程来自哪个 .exe。
恶意软件不太可能出现,它更有可能尝试联系具有公共 IP 的(云)C&C 服务器。
此外,当刚刚尝试连接时,您可以使用“ipconfig /displaydns”来显示哪个 DNS 缓存条目引用 10.10.10.1。
编辑:
同时捕获 PID 更加复杂。Sysinternal 的 procmon 可以记录进程创建(“操作是进程创建/启动”)和 TCP 连接(“操作是 TCP 连接”) - 这应该可以提供您需要的一切。