网络攻击症状

如果我们认为计算机上已经安装了高级杀毒软件,并且由于它会定期执行完整的系统威胁感染扫描,则我们是完全安全的。但是,在某些情况下,扫描未检测到任何威胁,或者您无法执行扫描。在这些情况下,我们建议注意攻击性方法或症状以检测威胁或攻击。

  • 如果发现任务管理器中不必要地存在PowerShell,那么我们的计算机肯定受到了攻击。

  • 如果发现连接没有建立在端口4444或445上(可以使用netstat -ano命令查看),那么您肯定会受到黑客的攻击。

  • 如果您发现防火墙/防御器没有您的意识就关闭了,那么您就处于特权升级攻击下,因为黑客可以通过仅单击此命令NetSh Advfirewall将当前配置文件状态设置为off来远程关闭防御系统

  • 如果您通过从netstat -no命令或Wireshark中显示该请求而发现了建立到端口80和443的过分请求,尽管关闭了浏览器,那么您正在遭受 端口重定向攻击

  • 如果发现任务管理器中正在运行一个异常奇怪的pdf文件,则您可能正受到恶意软件或病毒感染的攻击,它们可能与PDF文件捆绑在一起或藏匿起来。

  • 如果您突然发现来自Wireshark的大量不需要的UDP请求,则有人正试图通过分布式拒绝服务攻击您,以使您的网络或服务不可用。

  • 如果鼠标在程序之间移动并进行选择。计算机在没有内部输入的情况下会自动运行,因此您受到入侵者的控制。

  • 文件突然被加密,并禁止对它们的访问,直到受害者支付了所要求的金额,您才受到勒索软件的攻击

  • 如果您的浏览器开始重定向到惯常使用偏好设置的主页以外的其他地方,或者在人们尝试使用Internet时转到其他陌生的地方,则可能是由于黑客的渗透

  • 如果您意识到流式视频突然开始缓冲或无法播放并且网页需要永久加载,那么您就受到了Wi-Fi piggy带攻击。

  • 使用F-Secure Router工具分析路由器的DNS设置。如果路由器的DNS默认设置突然更改,则表明您正在遭受DNS劫持攻击。

预防措施

建议最终用户遵守以下预防措施,以阻止正在出现的潜在网络攻击

  • 我们可以通过从任务管理器中杀死恶意文件来终止黑客正在进行的会话。但是,如今,黑客可以使用高级Metasploit技术prependmigrate = true来将explorer.exe文件隐藏在常规的Windows进程(例如explorer.exe)中。因此,尽管如此,我们还是杀死了恶意文件,但黑客拥有了我们计算机的会话。因此,请改为终止explorer.exe进程。

  • 始终在防火墙上阻止所有端口(端口80和443除外),并运行带有大多数更新定义的Windows Defender反病毒软件。

  • 不要打开从奇怪来源收到的奇怪的PDF文件或未知的URL。

  • 在路由器上安装入侵检测和防御系统,然后将敏感服务器放入DMZ。