一、问题现象
用户反馈“服务器上装了EDR杀毒软件,突然外网访问不了服务器了,内网可以,把杀毒软件关闭,马上就好了”
二、问题排查 远程接入,先在客户电脑测试通过内网IP访问服务器端口,发现的确能通,通过公网地址访问服务器不通(所有客户给的结论必须做验证),关闭服务器上的EDR,发现外网恢复正常,一启用EDR就无法访问。现象与客户反馈一致。于是检查EDR上的日志,发现该服务器有被暴力破解的记录,攻击端IP已经被加入黑名单。并且攻击源IP是防火墙内网口IP。 考虑到防火墙的双向地址映射会将所有访问源IP转换成防火墙内网IP去访问真实业务,可能是突然并发量大导致的误判,也可能是里面的确混杂了有攻击行为只是EDR看不到真实源IP。跟客户商量取消双向映射,改为目的映射,内网通过私网IP去访问服务器,并且把EDR里面防火墙IP移除黑名单。下图为更改后的映射。于是让客户再观察
过了一个星期,客户又反馈防火墙IP被EDR封堵了。纳闷了,现在防火墙不应该有内网口到服务器的数据啊。看EDR日志,的确是防火墙又发起了暴力破解,可是为啥呢。思绪良久,突然发现这个攻击时间很讲究,都是周天上午,也就是说必定是有个定时计划 重新检查防火墙配置,果然找到了勒索病毒专项防护模块,里面设置每周天上午针对内网服务器的弱口令检测  ,真相大白,考虑到EDR本身也有基线扫描,于是跟客户协商关闭防火墙上的检测。
三、结论 对于有部署了EDR的客户,建议不用启用专线防护模块,或者说只有目的映射的情况,可以在EDR中把防火墙内网口IP加入白名单(双向映射不建议这么操作,会漏掉真实攻击) | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-6-26 08:04
技术员3级 
