记一次CVE漏洞检测过程

Posted 2020-10-08

今天对安全防御设备进行安全检查时，发现了中午某一时间段存在有大量攻击，次数600多次

查看下攻击源IP为当前局域网（如果是外网设备一定是攻击行为，需要进行黑名单处理）

不清楚是人工还是认为的爆破，所以我对其进行了一番调查

首先使用了nmap进行指纹探测，发现其存在大量端口开放,且服务器为windows2008

既然是winserver的 那应该不是人为了，难道这台机器被人攻击了？（不仅是外网机器，当然内网机器也是有可能被攻击过的）

我使用了nse脚本对其进行了漏洞探测：

 

发现多个端口运行了IIS7 且存在cve漏洞

查询了下这个CVE编号，直接google  cve-2015-1635

看来这个是严重的微软已知漏洞

  exp-db上已经有可exp检测代码了

 

汇报完毕，我就没有进一步去验证了，毕竟是攻击行为

剩下的交给运维去处理这台winserver主机了，可能需要打补丁（不仅公网机器需要打补丁，包括这些在内网的也是要打补丁的啊）, 至于这台机器为啥会狂发攻击包，还有待查明