好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
我的电脑好像中毒了,一直不停的在扫描另一台电脑的8860端口,源端口一直在变换,都是这种大端口类似于50956,通过火绒和火绒剑查杀都查不到问题,通过cmd查看开放端口定位pid找到调用了system和svchost两个系统程序,请问这个我该怎么排查怎么处理
下面是蜜罐捕获的信息,好像是属于apt攻击类型的
节点名称: 内置节点
节点IP: 192.168.1.222
攻击类型: scan
扫描类型: TCP
扫描端口: 8860
蜜罐类别:
蜜罐类型:
蜜罐名称:
帐号信息:
源IP: 192.168.1.85
源端口: 50956
目的IP: 192.168.1.222
目的端口: 8860
地理位置: 局域网
威协情报: 白名单,保留地址
攻击时间: 2024-03-18 16:45:35
攻击行为:
威胁等级:
攻击详情: PACKET: 62 bytes, wire length 62 cap length 62 @ 2024-03-18 16:45:24.660912 +0800 CST
- Layer 1 (14 bytes) = Ethernet {Contents=[..14..] Payload=[..48..] SrcMAC=00:15:5d:01:50:0a DstMAC=00:15:5d:01:50:24 EthernetType=IPv4 Length=0}
- Layer 2 (20 bytes) = IPv4 {Contents=[..20..] Payload=[..28..] Version=4 IHL=5 TOS=0 Length=48 Id=25775 Flags=DF FragOffset=0 TTL=128 Protocol=TCP Checksum=4501 SrcIP=192.168.1.85 DstIP=192.168.1.222 Options=[] Padding=[]}
- Layer 3 (28 bytes) = TCP {Contents=[..28..] Payload=[] SrcPort=50956 DstPort=8860 Seq=2132355938 Ack=0 DataOffset=7 FIN=false SYN=true RST=false PSH=false ACK=false URG=false ECE=false CWR=false NS=false Window=8192 Checksum=19063 Urgent=0 Options=[TCPOption(MSS:1460 0x05b4), TCPOption(NOP:), TCPOption(NOP:), TCPOption(SACKPermitted:)] Padding=[]} |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2024-3-20 18:46
