我从SEP有这个日志条目:
2011-04-05T10:52:37+02:00 SymantecServer SomeServer: SomePC,[SID: 23179] OS Attack: MS Windows Server Service RPC Handling CVE-2008-4250 detected. Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe, Local: 10.90.27.172, Local: 000000000000, Remote: , Remote: 10.90.27.220, Remote: 000000000000,Inbound,TCP, Intrusion ID: 0, Begin: 2011-04-05 10:28:37, End: 2011-04-05 10:28:37, Occurrences: 1, Application: C:/WINDOWS/system32/ntoskrnl.exe, Location: Default, User: 123456, Domain: SomeDomain 我想确认我正确理解这一点。 这是TCP入站通信。 Iow远程IP 10.90.27.220试图暴露本地机器上的一些漏洞:10.90.27.172
所以我们应该比本地机器更担心远程机器。 还是相反呢?
攻击者:10.90.27.220受害者:10.90.27.172
“入站”表示10.90.27.172是受到攻击的机器(可能是生成日志的机器)。
取决于你想要解决的问题。 你应该看看10.90.27.220,因为它是最有可能发起攻击的那个。
10.90.27.220,我认为由于RFC1918 IP而受到你的控制,可能已经被破坏了。 它试图在10.90.27.172上利用一个已知的漏洞( CVE-2008-4250 ,这是对RPC处理的缓冲区溢出攻击)。
你将如何处理这个取决于什么样的机器10.90.27.220是。 您可能正在处理端口安全问题(某人已将未授权的networking连接到您的networking),防火墙问题(该机器已被允许连接但不受您控制),stream氓用户(在您的networking上运行metasploit或其他)或受病毒感染的工作站(或服务器!)等等。
“入站”表示10.90.27.172是机器受到攻击,攻击者试图访问易受攻击的ntoskrnl.exe ..它非常清楚