我安全事件报告都写的一堆堆的，三天两头僵尸蠕攻击变矿机跳板机==的，防火墙那更是一堆的ip。
跟那帮家伙说了不要把服务器当成自己电脑来用，下数据集看清楚是不是真的网站，服务器SSH还有人离谱设置成1的（root密码1）。照样没啥用，前段时间风头很盛银狐啥也中招了，那天我还是周末还在睡觉，就被拉着写报告处理烦死
呼吁一下老老实实装杀毒软件，不要用啥高危风险的机场。dns服务器里多禁用一些高风险网站

橘霓暴 全公司断网，先排查肉鸡，杀毒杀马，然后全公司禁非必要的端口，禁IPv6 我们公司甚至都全坐席双机了，一台是虚拟的大局域网连通整个集团，内部文件都只在这个网内发和沟通，无法访问互联网或被访问。另一台联 ...

你们那网络运维权限这么大的吗，我这么不允许的全部断网。。。

山莫向 你们那网络运维权限这么大的吗，我这么不允许的全部断网。。。

能确定肉鸡，就只封禁肉鸡MAC咯。但如果没法确定肉鸡有多少台，就只能下班后断网全面排查了。我们公司保密制度还是比较严的，密码不能明文保存，3个月强制换密码，还得不能连续或相同3位数字英文，大小写符号混，2年内未曾使用过。内外网物理隔绝，局域网的机暂时还没出过事。
目前中招最多的，就是安卓手机被安了后门，然后会通过手机的内部通讯软件群发木马邮件，接着感染连接互联网的机器。

这个不是交给IT部门来么。

橘霓暴 全公司断网，先排查肉鸡，杀毒杀马，然后全公司禁非必要的端口，禁IPv6 我们公司甚至都全坐席双机了，一台是虚拟的大局域网连通整个集团，内部文件都只在这个网内发和沟通，无法访问互联网或被访问。另一台联 ...

听起来像是朝廷外包才有的待遇

很多年前，在游戏公司工作，当时经常碰到这些事。我带队和自己分析过很长时间，主要有几大原因：
1.有内鬼，但最终是谁我也没抓出来，不过业务变化较多，加上我重整了很多规则，换过几轮设备，埋了一些只有我知道的反弹炸弹，加上老人估计跑了，过了很久以后就基本没啥大风险了；
2.有无知的小白同事，大概率是美术、运营这类的，给内鬼或黑客给种了木马，并在内网反复跳了多台后门；单杀发现的其实只是解决了表面问题，肯定在局网深处还埋了后门的；
3.的确存在社工攻击，包括电话、QQ、邮件多种形式对员工电脑搞事的，我记得最清楚的是HR总监的电脑给黑了，全公司的联系方式对方都拿到了，甚至有威胁电话和QQ联系到我，当时的确还有点紧张的，怕真的来黑的；
4.我忘了怎么搞的，老板找公安成功抓了一个盗源码的，这事我只记得我是半路接手的，过程我记不太清了，只知道最后结果是公安成功抓了人，对方判了几年，还上过报纸，不过老板损失的钱和精力相比，其实也很大；
5.我经手处理了一个小弟，人也是我招的，新人刚进来没多久，主动要值班，干活也不错，没想到他值班后第二天线上就有接到异常报告，我一路摸过去，发现就是他的电脑操作的，他当时值了一晚班还没走，眼神都不对了，我叫上相关人一起带他到小黑屋聊天，他直接认了，不过也没怎么弄他，只是警告并当场公告开除了，老板还骂了我一顿，不过其他也就没事了，至少人也是我抓的，损失也还好控制。
6.反正经历过各种问题，如果没法好好整全公司内网和人员的话，这种事有一起，就会后面反复再出现，近几年这种情况的确不多见了，主要是一般企业黑了也没什么实际利益，没什么人来搞了。