单位电脑遭到永恒之蓝病毒，网络入侵，求大佬帮忙看看

侯保恩 · 发表于 2020-3-29 18:53

本帖最后由侯保恩于 2020-3-29 19:32 编辑

求大佬帮忙看看
2020-03-22，单位内网的一台电脑(WinServer2003)频繁蓝屏，因为这台电脑没有安装杀毒软件，在确定不是因为硬件软件问题导致的蓝屏后，将内网网线拔下连接外网下载火绒后，电脑不再蓝屏，第二天发现火绒提示该电脑受到网络入侵
关联进程：System
命令行：
攻击方式：Exploit/EternalBlue
远程地址：10.158.20.8:51898、200.229.1.17:61986、200.229.1.17:58978、142.202.12.193:62815
本地地址：0.0.0.0:445
已上传火绒日志。
安装火绒后，虽然已经能阻止入侵，但还想请大佬看看是什么原因。

补充：
这台电脑没有重要的文件，但局域网其他电脑上有，而且是这个局域网应该是全国的。
今天攻击的和25号那天攻击的IP，内网电脑可以Ping通，但23号那天的IP，Ping不通，外网可以Ping通，查IP显示美国加利福尼亚州费利蒙 arrowcalgary.ca
大佬们，能不能确定这台电脑是不是第一个被感染的，或者是怎么查到哪台电脑是第一个感染的。
单位内网电脑都是安装的联网版趋势杀毒，因为这台电脑刚重装不久，单位的技术还没给安装，，目前已经打上补丁和下载免费版火绒，现在这个情况是不是免费的火绒也不能完全阻止入侵。

ty_stone · 发表于 2020-3-29 20:19

平时我个人电脑也是装火绒，觉得资源占用少，防护不错，所以一直用！后来有了云服务器，也装了火绒，结果云服务器一直被黑，打电话给客服重置，不久又被黑，认为装了火绒不应该这样呀，直到最近，抱着试试看的想法，把以前一直用的360安全卫士装上，虽然很占资源，但觉得防护才是最重要的，果然，一通修复后，可以明显看到 360卫士提示远程桌面弱口令攻击，都被拦截，至今云服务器稳定运行。实践后服务器上重新捡起了360卫士，个人机还是选择火绒。

h81158807 · 发表于 2020-4-2 22:45

Windows XP

Windows XP SP3 安全更新程序 (KB4012598) 下载地址

https://www.microsoft.com/en-us/download/details.aspx?id=55245

Windows XP SP2 x64 （64位）安全更新程序 (KB4012598) 下载地址

http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa

Windows Server 2003

Windows Server 2003 SP2 x86 安全更新程序 (KB4012598) 下载地址

https://www.microsoft.com/en-us/download/details.aspx?id=55248

Windows Server 2003 SP2 x64 （64位）安全更新程序 (KB4012598) 下载地址

https://www.microsoft.com/en-us/download/details.aspx?id=55244

Windows 8

Windows 8 x86 安全更新程序 (KB4012598) 下载地址

http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340

Windows 8 x64 （64位）安全更新程序 (KB4012598) 下载地址

http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0

Windows 7

Windows 7 安全更新程序(KB4012212) 下载地址

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Windows 7 安全更新程序(KB4012212) 下载

Windows 7 安全更新程序(KB4012212) 下载（点击图片放大）

Windows 7 x64 （64位）安全更新程序(KB4012212) 下载地址

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Windows 7 x64 （64位）安全更新程序(KB4012212) 下载

Windows 7 x64 （64位）安全更新程序(KB4012212) 下载（点击图片放大）

Windows 10

Windows 10 安全更新程序(KB4012606) 下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 10 x64 安全更新程序(KB4012606) 下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 1511 安全更新程序(KB4013198) 下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

Windows 10 1511 x64 安全更新程序(KB4013198) 下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 1607 安全更新程序(KB4013429) 下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

Windows 10 1607 x64 安全更新程序(KB4013429) 下载地址

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

Windows Server 2008

Windows Server 2008 安全更新程序 (KB4012598)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

用于基于 x64 的系统的 Windows Server 2008 安全更新程序 (KB4012598)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 Itanium 安全更新程序 (KB4012598)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

Windows Server 2008 R2

基于 x64 的系统的 Windows Server 2008 R2 安全更新程序 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

其他版本（windows 8.1/windows 2012/windows 2016）安全补丁程序下载地址汇总页

https://technet.microsoft.com/zh-cn/library/security/MS17-010

jianping520 · 发表于 2020-3-29 18:55

为啥不装防火墙，杀毒软件，关闭不用的所有端口？

FidelCastro · 发表于 2020-3-29 18:55

永恒之蓝

aksroot · 发表于 2020-3-29 18:57

喜欢裸奔，就会想到有这一天

侯保恩 · 发表于 2020-3-29 18:59

FidelCastro 发表于 2020-3-29 18:55
永恒之蓝

嗯，在网上也搜到了，永恒之蓝，但是单位是内网电脑，怎么感染的呢

无名先森。 · 发表于 2020-3-29 18:59

已经445了，还有什么办法，单位买防火墙，装上，关闭445等不用的端口

侯保恩 · 发表于 2020-3-29 19:03

无名先森。发表于 2020-3-29 18:59
已经445了，还有什么办法，单位买防火墙，装上，关闭445等不用的端口

445端口，很严重吗，大佬。
单位内网电脑都是安装的联网版趋势杀毒，因为这台电脑刚重装不久，单位的技术还没给安装，现在也就是说免费的火绒是不是也不能完全阻止吗。

带不走的回忆 · 发表于 2020-3-29 19:03

:Dweeq裸奔真香

侯保恩 · 发表于 2020-3-29 19:04

带不走的回忆发表于 2020-3-29 19:03
:Dweeq裸奔真香

内网电脑，没想到会中毒，也没安装什么软件。

Lopht · 发表于 2020-3-29 19:05

看起来不是什么大问题，打上永恒之蓝的补丁，或者一劳永逸关闭445,随它exploit吧。
只是楼主该想想，机器里放了什么涉密的东西没。如果有，有内保通知内保吧。

帐号		自动登录	找回密码
密码			注册[Register]