遭到攻击

271200017

Ip 来源 110.208.67.236   端口80  严重性：高

norton 已经拦截该地址的攻击 不下50次

查了下 是来自广州的

陌路夕颜

既然拦截了就没什么大问题了

sogou2004

快速扫描或者全盘扫描下

wjcharles

最好上详细的ips记录，在ips历史记录界面右键复制就可以了，粘到论坛上来，看看是哪个程序触发的

清茗微漾

诺顿的墙也能用？没见过。。。长见识了

wjhstu-VxG

清茗微漾 发表于 2013-5-1 23:42
诺顿的墙也能用？没见过。。。长见识了

孤陋寡闻了亲……我大sygate之魂传承永不灭~

charmingchan

楼主是用的CMCC吗？

271200017

wjcharles 发表于 2013-5-1 22:38
最好上详细的ips记录，在ips历史记录界面右键复制就可以了，粘到论坛上来，看看是哪个程序触发的

类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑,攻击者网址,目标地址,源地址,通信说明
2013/5/2 8:56:32,高,阻止了 111.208.67.236 的入侵企图,已阻止,不需要操作,"Malicious Site: Malicious Web Site, Domain, or URL (1)",不需要操作,不需要操作,"111.208.67.236, 80",111.208.67.236/download/13117716/17186399/1/exe/254/82/1366335372798_82/am_engine_0a813e0eacbdfab40db35499d4d1bcab854862a1.exe,"我的电脑ip 自己修改 @TCP, www-http"
来自 <b>111.208.67.236/download/13117716/17186399/1/exe/254/82/1366335372798_82/am_engine_0a813e0eacbdfab40db35499d4d1bcab854862a1.exe</b> 的网络通信与已知攻击的特征相匹配。攻击由 \DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SVCHOST.EXE 引起。  要停止接收有关此类通信的通知，请在<b>“操作”</b>面板中单击<b>“不再提醒我”</b>。

wjcharles

271200017 发表于 2013-5-2 12:30
类别： 入侵防护
日期和时间,风险,活动,状态,推荐的操作,IPS 警报名称,默认操作,采取的操作,攻击电脑, ...

看日志是SYSTEM32目录下的SVCHOST.EXE 外联下载一个exe文件触发ips警报的，因为该exe所在的网址被铁壳认为是恶意网址。

系统进程SVCHOST去下载一个exe确实有点问题，但很难说是否你的电脑被病毒感染了，因为有些正常程序也会调用svchost联网。可以先上npe扫一下，不行的话去救援区发帖求助。

GreenCodes

wjhstu-VxG 发表于 2013-5-2 08:55
孤陋寡闻了亲……我大sygate之魂传承永不灭~

个人版也是sygate墙？？？？？