攻击源：127.0.0.1本机地址，报FTP爆破

Open austfish opened this issue 4 years ago • 1 comments

2021/12/1403:01:36 127.0.0.1本机地址 anonymous&&123456

2021/12/1403:01:32 127.0.0.1本机地址 nobody&&xampp

2021/12/1403:01:36	127.0.0.1本机地址	anonymous&&123456
2021/12/1403:01:32	127.0.0.1本机地址	nobody&&xampp

出现几次本机地址的攻击日志，这个怎么分析，有没有建议，感谢！目前的思考事：检查了本地未发现危险源，不确定是否有误报的可能性。两次攻击日志都发生在凌晨。

Dec 21 '21 07:12 austfish

从现象看，威胁的确是存在的。排查方法： 1、从图中分析，你这个节点是另外安装的节点，所以检查下client3这个节点的主机安全性； 2、client3这台主机是不是安装了某些代理？ 3、如果还是找不出原因，还可以在client3上用nc -lvp 21监听下，看谁上来连；（主要是担心client程序有bug）

Dec 27 '21 03:12 DearEmma