本帖最后由 longhui·huang 于 2020-11-19 20:45 编辑
电脑用户反馈访问SMB文件共享服务器存在一会能进一会不能进的现象;不能进的时候等30分钟后又正常。
排查后发现是EDR的SMB暴力破解封锁30分钟,以为只是中病毒导致被攻击;经过杀毒、插补漏洞并没有任何问题。
查看封堵日志显示该电脑的本地用户在访问文件服务器;但SMB文件服务器的账户密码认证都是域用户去登陆共享文件夹的,查看登陆设置都不存在本地用户登陆的凭证信息。(还有一堆奇奇怪怪的IPV6的IP,但怎么都查不到是哪里的;目前先将SMB破解封堵先关闭,只开启记录)
通过服务器查看也是一样的,使用的是本地用户ASUS,但这台机使用的是域账户密码PR06,WINDOWS凭证保存的并不是ASUS的账户。
请问大家有没有遇到该问题,是系统设置问题还是真的有网络攻击。 |