NIPS业务安全内部ip地址定时访问aliyun

只看该作者 · 发表于 2025-4-3 15:17

如题在攻击事件汇总中，内部的一个IP总是每隔一个小时对39.156...一个ip进行访问

攻击类型：方法过滤(这个是什么意思)

攻击描述

如下检测到不允许的HTTP请求方法！URL: bugrpt.oss-cn-beijing.aliyuncs.com/LE00DF2818AF6247C99EC28F25362B6C000000000EF
对这个内部IP 进行封堵后，在终端进行EDR查杀以及火狐全盘查杀，没有任何漏洞或者病毒，解开后又会重新出现内部目前有四五个IP都会出现这种情况，有的是路由器IP，有的是电脑IP

只看该作者 · 发表于 2025-4-3 23:29

这个是什么产品的业务安全啊。入侵防御吗？

只看该作者 · 发表于 2025-4-4 11:26

攻击者尝试通过非常规HTTP方法绕过安全策略，或触发服务器配置错误以获取敏感信息‌
在内部IP对应主机上执行 netstat -antp 或 lsof -i，定位发起请求的进程‌
使用 ps aux 或任务计划（crontab）检查可疑定时任务‌

只看该作者 · 发表于 2025-4-4 14:39

问题分析
从描述来看，内部多个 IP 每隔一小时对特定 IP 进行访问，且检测到不允许的 HTTP 请求方法，这种行为可能是由以下几种情况导致的：

恶意软件或木马：尽管进行了 EDR 查杀和火狐全盘查杀没有发现漏洞或病毒，但某些高级恶意软件可能具有隐藏性，能够躲避常规查杀工具的检测。这些恶意软件可能会按照特定的时间间隔向外部服务器发送恶意请求，执行如数据窃取、远程控制等恶意操作。
被入侵的设备：路由器或电脑可能已被黑客入侵，黑客通过控制这些设备发起攻击。黑客可能利用设备的漏洞获取了控制权，并将其作为攻击的跳板，向目标 IP 发送不允许的 HTTP 请求方法。
配置错误或恶意脚本：内部网络中可能存在配置错误的设备或被植入了恶意脚本。例如，某些自动化脚本可能被错误地配置为定时向特定 IP 发送请求，或者攻击者故意植入恶意脚本以实现持续的攻击行为。
“方法过滤”通常指的是对 HTTP 请求方法进行限制和过滤。HTTP 协议定义了多种请求方法，如 GET、POST、PUT、DELETE 等。不同的应用场景和安全策略可能只允许特定的请求方法通过，而禁止其他方法。在这个案例中，检测到不允许的 HTTP 请求方法，说明有请求使用了不被允许的方法来访问目标 URL，这可能是恶意攻击的一种手段。

解决方案
深入分析网络流量
使用专业的网络流量分析工具，如 Wireshark 等，对内部网络流量进行深度分析。重点关注那些频繁发起异常请求的 IP 地址，查看请求的具体内容、频率、目标端口等信息，以确定攻击的特征和来源。
分析网络流量的时间规律，确认是否确实存在每隔一小时的固定访问模式，并尝试找出这种模式与其他网络活动之间的关联。
检查设备配置和日志
对出现异常的路由器和电脑进行详细的配置检查。查看路由器的访问控制列表（ACL）、防火墙规则等配置，确保没有错误的配置导致异常请求的发出。
检查电脑的系统日志、应用程序日志等，寻找异常的登录记录、进程启动信息等，以确定是否有可疑的活动。
隔离和修复受感染设备
将出现异常的 IP 地址对应的设备从网络中隔离出来，防止其继续对其他设备或网络造成影响。
对隔离的设备进行全面的安全检查和修复。可以尝试使用不同的查杀工具进行深度扫描，或者使用系统还原、重装系统等方法来清除潜在的恶意软件。
更新和强化安全策略
更新网络设备的安全策略，加强对 HTTP 请求方法的过滤。明确允许和禁止的请求方法列表，并在防火墙、入侵检测系统（IDS）/入侵防御系统（IPS）等安全设备上进行相应的配置。
定期审查和更新安全策略，以适应不断变化的安全威胁。
加强用户安全意识培训
对内部用户进行安全意识培训，提高他们对网络安全的认识和防范能力。教育用户不要随意点击可疑链接、下载未知来源的文件，避免使用弱密码等。
建立安全事件报告机制，鼓励用户及时报告发现的异常情况，以便及时采取措施进行处理。
持续监控和响应
建立持续的网络监控机制，实时监测网络流量和设备状态。一旦发现异常情况，及时进行分析和处理，防止攻击的扩散和升级。
制定应急响应计划，明确在发生安全事件时的处理流程和责任分工，确保能够快速、有效地应对安全威胁。

只看该作者 · 发表于 2025-4-4 16:20

问题分析
从描述来看，内部多个 IP 每隔一小时对特定 IP 进行访问，且检测到不允许的 HTTP 请求方法，这种行为可能是由以下几种情况导致的：

恶意软件或木马：尽管进行了 EDR 查杀和火狐全盘查杀没有发现漏洞或病毒，但某些高级恶意软件可能具有隐藏性，能够躲避常规查杀工具的检测。这些恶意软件可能会按照特定的时间间隔向外部服务器发送恶意请求，执行如数据窃取、远程控制等恶意操作。
被入侵的设备：路由器或电脑可能已被黑客入侵，黑客通过控制这些设备发起攻击。黑客可能利用设备的漏洞获取了控制权，并将其作为攻击的跳板，向目标 IP 发送不允许的 HTTP 请求方法。
配置错误或恶意脚本：内部网络中可能存在配置错误的设备或被植入了恶意脚本。例如，某些自动化脚本可能被错误地配置为定时向特定 IP 发送请求，或者攻击者故意植入恶意脚本以实现持续的攻击行为。
“方法过滤”通常指的是对 HTTP 请求方法进行限制和过滤。HTTP 协议定义了多种请求方法，如 GET、POST、PUT、DELETE 等。不同的应用场景和安全策略可能只允许特定的请求方法通过，而禁止其他方法。在这个案例中，检测到不允许的 HTTP 请求方法，说明有请求使用了不被允许的方法来访问目标 URL，这可能是恶意攻击的一种手段。

解决方案
深入分析网络流量
使用专业的网络流量分析工具，如 Wireshark 等，对内部网络流量进行深度分析。重点关注那些频繁发起异常请求的 IP 地址，查看请求的具体内容、频率、目标端口等信息，以确定攻击的特征和来源。
分析网络流量的时间规律，确认是否确实存在每隔一小时的固定访问模式，并尝试找出这种模式与其他网络活动之间的关联。
检查设备配置和日志
对出现异常的路由器和电脑进行详细的配置检查。查看路由器的访问控制列表（ACL）、防火墙规则等配置，确保没有错误的配置导致异常请求的发出。
检查电脑的系统日志、应用程序日志等，寻找异常的登录记录、进程启动信息等，以确定是否有可疑的活动。
隔离和修复受感染设备
将出现异常的 IP 地址对应的设备从网络中隔离出来，防止其继续对其他设备或网络造成影响。
对隔离的设备进行全面的安全检查和修复。可以尝试使用不同的查杀工具进行深度扫描，或者使用系统还原、重装系统等方法来清除潜在的恶意软件。
更新和强化安全策略
更新网络设备的安全策略，加强对 HTTP 请求方法的过滤。明确允许和禁止的请求方法列表，并在防火墙、入侵检测系统（IDS）/入侵防御系统（IPS）等安全设备上进行相应的配置。
定期审查和更新安全策略，以适应不断变化的安全威胁。
加强用户安全意识培训
对内部用户进行安全意识培训，提高他们对网络安全的认识和防范能力。教育用户不要随意点击可疑链接、下载未知来源的文件，避免使用弱密码等。
建立安全事件报告机制，鼓励用户及时报告发现的异常情况，以便及时采取措施进行处理。
持续监控和响应
建立持续的网络监控机制，实时监测网络流量和设备状态。一旦发现异常情况，及时进行分析和处理，防止攻击的扩散和升级。
制定应急响应计划，明确在发生安全事件时的处理流程和责任分工，确保能够快速、有效地应对安全威胁。

只看该作者 · 发表于 2025-4-4 16:29

恶意软件或木马：尽管进行了 EDR 查杀和火狐全盘查杀没有发现漏洞或病毒，但某些高级恶意软件可能具有隐藏性，能够躲避常规查杀工具的检测。这些恶意软件可能会按照特定的时间间隔向外部服务器发送恶意请求，执行如数据窃取、远程控制等恶意操作。
被入侵的设备：路由器或电脑可能已被黑客入侵，黑客通过控制这些设备发起攻击。黑客可能利用设备的漏洞获取了控制权，并将其作为攻击的跳板，向目标 IP 发送不允许的 HTTP 请求方法。
配置错误或恶意脚本：内部网络中可能存在配置错误的设备或被植入了恶意脚本。例如，某些自动化脚本可能被错误地配置为定时向特定 IP 发送请求，或者攻击者故意植入恶意脚本以实现持续的攻击行为。
“方法过滤”通常指的是对 HTTP 请求方法进行限制和过滤。HTTP 协议定义了多种请求方法，如 GET、POST、PUT、DELETE 等。不同的应用场景和安全策略可能只允许特定的请求方法通过，而禁止其他方法。在这个案例中，检测到不允许的 HTTP 请求方法，说明有请求使用了不被允许的方法来访问目标 URL，这可能是恶意攻击的一种手段。

只看该作者 · 发表于 2025-4-4 17:19

问题分析
从描述来看，内部多个 IP 每隔一小时对特定 IP 进行访问，且检测到不允许的 HTTP 请求方法，这种行为可能是由以下几种情况导致的：

只看该作者 · 发表于 2025-4-4 17:22

恶意软件或木马：尽管进行了 EDR 查杀和火狐全盘查杀没有发现漏洞或病毒，但某些高级恶意软件可能具有隐藏性，能够躲避常规查杀工具的检测。这些恶意软件可能会按照特定的时间间隔向外部服务器发送恶意请求，执行如数据窃取、远程控制等恶意操作。

只看该作者 · 发表于 2025-4-4 17:33

这个是什么产品的业务安全啊。入侵防御吗？

只看该作者 · 发表于 2025-4-4 17:39

解决方案
深入分析网络流量
使用专业的网络流量分析工具，如 Wireshark 等，对内部网络流量进行深度分析。重点关注那些频繁发起异常请求的 IP 地址，查看请求的具体内容、频率、目标端口等信息，以确定攻击的特征和来源。

浏览过的版块

2020缤纷618

2020劳模勋章

真爱粉

2019.11.11

2018年Q4VIP签到达人

2018年Q4VIP解锁王

2018年Q4活跃VIP

2018年Q4登录强者

2018年Q4解锁最强者

2018年Q4连续解锁达人

4周年庆

2018年Q4机器人粉丝

2019元旦狂欢

2018圣诞狂欢

2018年感恩节

签到天王

建议牛人

疑问解答

高级渠道认证

初级渠道认证

2017万圣节勋章

最佳辩手

2018年Q4签到30d

转盘

任务

商城

勋章

成长计划

本版版主

本版热帖

本版达人