192.168.10.1登录
作者:王忘杰
文章内IP、地点、部门均为化名处理
事件描述
2023年10月31日,王工收到蜜罐系统持续告警,某IP持续攻击蜜罐445端口,王工立刻进行应急处置。
基础知识
445端口:是windows共享文件服务端口
MS17-010: 是微软2017年第10号漏洞,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。
溯源过程
2023年10月31日08:19,王工收到蜜罐系统持续告警
告警内容:
标题: HFish Threat Alert\n节点名称: 内置节点\n节点IP: 192.168.21.9\n攻击类型: attack\n扫描类型: \n扫描端口: \n蜜罐类别: 端口监听\n蜜罐类型: TCP\n蜜罐名称: TCP端口监听\n帐号信息: \n源IP: 192.168.210.101\n源端口: 51744\n目的IP: 192.168.21.9\n目的端口: 445\n地理位置: 局域网\n威协情报: \n攻击时间: 2023-10-31 08:19:45\n攻击行为: \n威胁等级: other\n攻击详情: 192.168.210.101:51744 already connected.08:20 王工放下手头其他工作,开始进行溯源
溯源手段主要为:
1、通过EDR查找是否为已管控主机
2、通过goby进行反制探测
3、通过上网行为系统查找是否为已认证主机
4、通过IP判断物理位置
08:22 通过EDR没有查找到此主机
08:25 通过goby反制探测,确认目标基本信息,并进行部门通告
各位领导同事
当前检测到网络攻击行为,正在对公司内网进行攻击,此设备连接 隐私保护 无线热点,在线时间 隐私保护 小时, IP: 192.168.210.101 MAC地址:隐私保护 主机名:隐私保护 可能为win7系统
同时探测到目标具有MS17-010漏洞,判断为目标中了永恒之蓝病毒
08:30 通过上网行为系统查找,此主机未通过认证,判断为非域用户设备
08:32 通过IP地址进行物理位置查找
1、通过IP判断,为无线设备
2、登录AC控制器,查找IP和对应的AP
3、查找到AP名称为 隐私保护 ,但无法判断AP位置,通过人工判断,为AP名称拼写错误
08:35 前往现场处置
08:40 抵达现场,现场为一台台式机、一台平板,没有找到目标
08:42 对现场AP进行MAC查询,确认设备一定在此AP下
08:43 发现现场生产设备运行windows系统,查看IP确认为目标系统,查看主机名为目标系统,经询问现场当前不生产,可以进行相应处理。
处置过程
08:45 对目标主机安装EDR安全软件,进行系统补丁更新,随后进行全盘查杀,未发现病毒
此处暴露EDR软件查杀能力严重不足
09:30 通过EDR对系统补丁安装完成
09:32 安装火绒杀毒软件进行病毒查杀,全盘扫描到56个病毒,根据描述判断为永恒之蓝挖矿病毒
09:38 经过火绒杀毒处理,蜜罐没有再接收到新的攻击告警
10:00 返回工位,进行处置记录,进行事件关闭通告。
后续措施
1、AP重新命名 已完成
2、主机重新命名 已完成
3、安装EDR软件管控 已完成
总结
1、设备部门对设备联网,没有及时通知信息安全部门,导致风险系统暴露在内网中
2、厂家对设备联网调试,没有及时通知信息安全部门,导致病毒持续运行扩散
3、AP命名及主机名命名不规范,导致溯源难度增加
阅读更多服务软件精彩内容,可前往什么值得买查看
","gnid":"92b8cf9590093b0b3","img_data":[{"flag":2,"img":[{"desc":"","height":"395","title":"","url":"https://p0.ssl.img.360kuai.com/t01137e437e5555a768.jpg","width":"709"},{"desc":"","height":"135","title":"","url":"https://p0.ssl.img.360kuai.com/t012f3629274264cd0b.jpg","width":"1080"},{"desc":"","height":509,"title":"","url":"https://p0.ssl.img.360kuai.com/t01c19e14966f669b4a.jpg","width":1080},{"desc":"","height":"524","title":"","url":"https://p0.ssl.img.360kuai.com/t0199b016eccd9800f4.jpg","width":"587"},{"desc":"","height":"281","title":"","url":"https://p0.ssl.img.360kuai.com/t012b81581b085efbbb.jpg","width":"1080"},{"desc":"","height":"289","title":"","url":"https://p0.ssl.img.360kuai.com/t01e23068a43d5fc24f.jpg","width":"697"},{"desc":"","height":819,"title":"","url":"https://p0.ssl.img.360kuai.com/t01586115d64beebde0.jpg","width":1080}]}],"original":0,"pat":"art_src_1,fts0,sts0","powerby":"pika","pub_time":1698844171000,"pure":"","rawurl":"http://zm.news.so.com/4f720c2794d034577fe087487df3f63c","redirect":0,"rptid":"a7291cbf105d9d9e","rss_ext":[],"s":"t","src":"什么值得买","tag":[{"clk":"ktechnology_1:ap","k":"ap","u":""},{"clk":"ktechnology_1:mac","k":"mac","u":""}],"title":"记一次厂区永恒之蓝挖矿病毒溯源处置实战-MS17-010
周旭单3402怎样设置192.168.10.1 -
汲虹洁19591234537 ______ 这是路由器的地址?在浏览器中输入这个地址,然后输入路由器的帐号和密码,就可以进入设置页面了,具体设置有wan口设置,一般输入上网帐号和密码,或者固定IP等等,lan口一般无需设置,还有无线路由器的话,可以在无线设置里设置无线信号和密码,还有DHCP设置等等,具体参考路由器的说明书
周旭单3402192.168.10.1路由器不会安装怎么办 -
汲虹洁19591234537 ______ 192.168.10.1路由器不会安装怎么办 1、找说明书,说明书上有安装步骤的. 2、看路由器底部,有默认管理地址和默认用户名密码什么的.
周旭单3402路由器的192.168.1.1设置地址可以更改吗 -
汲虹洁19591234537 ______ 可以修改路由器LAN口的IP地址:1、无线路由器插上电,先不要接猫,电脑连接无线路由器任一LAN口;2、 浏览器地址栏输入路由器网关地址(路由器背后标签上有的),输入登录用户名和密码进入设置页面;3、左击管理界面左侧的“网络参数”栏,在子栏目里点“LAN口设置”;4、将默认地址改为192.168.0.1,或192.168.2.1,就可以了;5、保存、重启.改过LAN口IP地址之后,下次再进路由器设置页面的时候,就要输你改过的IP地址才能进入.
周旭单3402我家的网是固定的IP, 按照路由器说明设置好后却上不了网?路由器的IP是192.168.10.1 该怎么设置呢!!!
汲虹洁19591234537 ______ 2楼 的回答有误 路由各个品牌用的IP地址不一样的 路由器按照说明书上设置好 然后右键选网上邻居—属性 双击打开本地连接— 常规 —属性— 配置下面有一个有很多协议的框 选择最下面那个 Internet协议{TCP/IP} 选了以后 下面有个属性 点开属性 常规里面设置为自动获取IP地址 和自动获取DNS码就可以
周旭单3402我能上网,但192.168.1.1 打不开是怎么回事?
汲虹洁19591234537 ______ 【问题描述】:192.168.1.1打不开,连接不了【原因分析】:地址输错,账户密码错误.【简易步骤】:无【解决方案】:1. 192.168.1.1是什么IP 10.0.0.0-...
周旭单3402Win10 192.168.1.1打不开怎么办 -
汲虹洁19591234537 ______ 如果你目前本机的IP不是192.168.1.X这个网段,你是进不去的,可以先手动给本机设置一个IP地址这样就能进去了
周旭单3402电脑输入192.168.1.1不能打开路由器登陆界面怎么回事?要怎么才能登陆界面? -
汲虹洁19591234537 ______ 你好,路由器不能进行登陆设置界面,可能的原因很多,请对照下面的方法进行检查:1、检查路由器与电脑的连接线是否错误,正确的接法是从路由的LAN口也就是路由上标有1、2、3、4的接口,连接到电脑,2、检查你的路由器与电脑的连...
周旭单3402192.168.0.1的路由器如何设置 -
汲虹洁19591234537 ______ 重新设置一下吧,步骤是: 1. 把电源接通,然后插上网线,进线插在wan口(一般是蓝色口),然后跟电脑连接的网线就随便插哪一个lan口啦,做好这些工作后,然后你会看到路由器后面有个地址跟帐号密码,连接好后在浏览器输入在路由器...
周旭单3402怎么使192.168.0.0和10.1.15.0两个网络互联?具体说明 -
汲虹洁19591234537 ______ ……》最简单的办法:购买路由.然后设置静态路由表,OK. ……》次简单的办法:找一台计算机,需要安装两块网卡. 网卡A设置IP为:192.168.0.1 网卡B设置IP为:10.1.15.1 然后将两块网卡互联为网桥. 连接192.168.0.0网段的计算机请使用192.168.0.1为网关. 连接10.1.15.0网段的计算机,请使用10.1.15.1为网关. ……》复杂一点的办法:使用Server版系统,并且设置“路由和远程访问”.
周旭单3402新买一个路由器,ip地址和宽带猫一样都是192.168.1.1 ,无法设置,要怎么做?本人小白,求详细点,谢谢! -
汲虹洁19591234537 ______ 1、拿网线,把从宽带猫接出来,再接入路由器的WAN口, 2、然后再拿根网线 从路由器的LAN 口,接入你的 电脑....这样,你登录网页输入 192.168.1.1那就是 路由器地址了,3、然后在路由器里面去设置宽带的帐号和密码.....建议不自动断线,现在宽带都是包月包年不限流量了,别断线的好.4、最好使用无线路由器,现在谁还没个智能手机啊....WIFI信号也是需要的.