阿里云反馈公司公网出口有一直在攻击阿里云 ip 行为，想问一下有遇见过嘛，怎么定位到公司哪台电脑在攻击


抓个包看看，过滤下端口或者 ip 地址啥的，看看能不能发现。


@oldboy627 因为没有专业的运维，就个后端，可以麻烦尽可能的操作上详细一点嘛，谢谢。

可以把公司的电脑的 ip 都固定成静态 IP ，然后网关上做个白名单，这样就能过滤出来是哪个设备中了木马病毒了

看你们的网关路由器上有没有流量监控或者连接监控的功能，先把连接数高的和流量大的 IP 记下来，找到对应的电脑，装个杀毒软件全盘扫一下

@dier 找到了昨天晚上访问频率高的 ip ，当时同事在加班，但是不能完全确定，因为是出口地址攻击了全阿里云 ip 不是单独某一台。

在公司核心抓取目的地址的流量就知道哪个 IP 在攻击了

@xiaohantx 先把可疑的排查一下看看效果呀。如果是木马、病毒可能会在局域网内传播，如果觉得不可能只有一台的话只能把所有电脑都扫一遍

上周也遇到过 aws 上一台服务器被植入木马， ssh 一直爆破别的服务器。

这种情况大都是中木马了，你到同事的电脑上运行 netstat -n 看看是否有很多的 tcp 连接，如果有的话，管理员运行 cmd.exe ，netstat -n -b 查看是哪个进程

我有个土办法: 二分法，拔网线

开 ssh ，让我上去看看

ssh 或者向日葵链接发一下，我上个 cs 。