@yyzh 主机安全软件没有报风险，就是担心以后会出安全事件

@eekon 你先封，调查不是让问题一直持续着调查。尤其是安全问题。。等你查完，黄花菜都凉了。你另外开个机器。acl 只允许这个 windows 机器通过。

会不会是系统镜像有问题？ 比如 192.168.210.102 是一台监控中央服务器，然后镜像设置了向这个中央服务器备份数据。

只有两种可能。 1 、中病毒了，这个手动杀毒，排除法啥的，你搞个空闲的机器慢慢测。 2 、公司用的某个软件导致的，杀进程，或者逐个进程/服务关闭、卸载，资源管理器拓展项等等都挨个禁用。 答案自现。 搜了一下网上是没有相同情况的，很明显大概率是内部软件，或者有什么东西配置导致的，如果是近期出现的，说明是有些软件配置超出了你的掌控，或不属于你运维。 没啥好讲的，耐心点处理，总会有答案的，不是通用问题你上来问不会有准确答案的，特别是网上没有案例的情况下。

@eekon 1. 现在还是停留在 System 这个进程上 2. 这么多台都是每隔 10 分钟就向这个 192.168.210.102 的 TCP 445 端口发起连接请求 如果没有正常业务用这个 IP ，那大概率是中毒了。 建议先联系相关研发/业务人员进行沟通，或者先把 192.168.210.102 的网络断了等人联系你 排查 192.168.210.102 有没有映射到公网，或者可以通过公网访问 无论是不是正常业务，做好 445 端口的安全防护，如果被攻击，有可能所有能连接这个 IP 的设备都中招

你可以看看有没有别的 SMB 请求。SMB 可以用 SCF 泄露 NTLM 认证的 HASH 。 简单的测试办法，你去搞个 192.168.210.102 的主机，然后开 SMB 服务，可以试着开启匿名写入。然后这台主机禁止所有 outbound 连接，并且打出来 Log 。切记一定要在网关封掉所有出站链接，不然可能泄露你的认证信息。 然后你时不时的用 Explorer 看一下你共享的目录，再去看看这台主机有没有往外发什么请求。如果确实是有出站请求，说明你那几百台机器真的感染了。

一般不会是恶性病毒，如果病毒干嘛集中往内网的机器发？直接朝外发送不就完了。 估计是 ARP 欺骗之类的恶心人用的