EDR发现防火墙内网IP在暴力破解服务器

一、问题现象

用户反馈“服务器上装了EDR杀毒软件，突然外网访问不了服务器了，内网可以，把杀毒软件关闭，马上就好了”

二、问题排查

远程接入，先在客户电脑测试通过内网IP访问服务器端口，发现的确能通，通过公网地址访问服务器不通（所有客户给的结论必须做验证），关闭服务器上的EDR，发现外网恢复正常，一启用EDR就无法访问。现象与客户反馈一致。于是检查EDR上的日志，发现该服务器有被暴力破解的记录，攻击端IP已经被加入黑名单。并且攻击源IP是防火墙内网口IP。

考虑到防火墙的双向地址映射会将所有访问源IP转换成防火墙内网IP去访问真实业务，可能是突然并发量大导致的误判，也可能是里面的确混杂了有攻击行为只是EDR看不到真实源IP。跟客户商量取消双向映射，改为目的映射，内网通过私网IP去访问服务器，并且把EDR里面防火墙IP移除黑名单。下图为更改后的映射。于是让客户再观察

过了一个星期，客户又反馈防火墙IP被EDR封堵了。纳闷了，现在防火墙不应该有内网口到服务器的数据啊。看EDR日志，的确是防火墙又发起了暴力破解，可是为啥呢。思绪良久，突然发现这个攻击时间很讲究，都是周天上午，也就是说必定是有个定时计划

重新检查防火墙配置，果然找到了勒索病毒专项防护模块，里面设置每周天上午针对内网服务器的弱口令检测，真相大白，考虑到EDR本身也有基线扫描，于是跟客户协商关闭防火墙上的检测。

三、结论

对于有部署了EDR的客户，建议不用启用专线防护模块，或者说只有目的映射的情况，可以在EDR中把防火墙内网口IP加入白名单（双向映射不建议这么操作，会漏掉真实攻击）

每天学习一点点，每天进步一点点。

每天学习一点点，每天进步一点点。

每日打卡学习，感谢分享，学习了！！！

每天学习一点点，每天进步一点点。

有助于学习！！！！！！！！！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

每天学习一点点，每天进步一点点。

感谢分享有助于工资和学习！