Помогите с проблемой:
Комп с постоянным подключением и IP и файерволлом Outpost(NETBIOS запрещены) периодически(от раза в сутки до раза в минуту) подвергается сканированию портов UDP в диапазоне 1025-1031 (количество просканированных портов каждый раз по разному когда 1026-1027, когда 1025-1031).Outpost попытки соединения благополучно блокирует, но в ту же или след секунду после скана NETBIOS пытается установить исх соединение с узлом нападавшего на порт 137, которое тоже блокируется OUTPOST. в журнале разрешенных соединений ничего особо непристойного не происходит. Логи по правилам прилагаю. Заранеее спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пришлите (по правилам, через специальную форму) следующие файлы:
WService.EXE
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
Искать тоже по правилам, через AVZ.
IP атак меняются-примерно раза 3-4 в сутки. Бывает, атакуют парами. Диапазон изменений : от 6.ХХ.ХХ.ХХ до 206.XX.XX.XX (за точность цифр IP сейчас не ручаюсь, вечером смогу скинуть точные выдержки из ЛОГ'ов, если надо).Недели 2 назад, используя Window ый аудит безопасности(включив подробное отслеживание успехов и отказов в доступе к объектам) смотрел, кто же пытается установить исх через NETBIOS-показалось-explorer.exe (но опять же- 100% не ручаюсь)
Убрал вчера, за сутки- ни одного исх соединения Netbios.Но: такое уже бывало(активность пропадала и на неск дней) и все-таки что-то в компе сидит ? (ведь не было разрешенных соединений с узла атаки, но попытки ответа по Netb на него начинались)
Вы видать (я не телепат, я только учусь) запретили его в самом ОР. А сам нетбиос как протокол присутствует в системе. Это видно. Как прибить нетбиос описывалось где-то здесь на форуме. Или вот здесь - http://forum.five.mhost.ru/kb2/ - почитайте все вопросы, касающиеся нетбиоса - где-то там я прописывал как полностью прибить нетбиос отключением служб винды, отвечающих за этот протокол и т.д., вот только тогда исходящих по нетбиосу и не будет вообще.
подвергается сканированию портов UDP в диапазоне 1025-1031
На первый взгляд - это обычное явление в сети как скан портов. В какое время проявляется этот скан. Когда просто машина стоит или Вы в это время что-то делаете на машине и т.д. А вообще, откройте журнал ОР. Логи "История заблокированных" - фокус мышки - меню вид - добавить и удалить столбцы - проставить все галочки. Так инфы будет больше. Затем опять фокус мыши - правая кнопка ее - экспортировать. Файл прикрепить сюда на форум.
А так, вроде из логов, присланных ранее, я ничего подозрительного пока не вижу, хотя есть варианты...
Выдержки из логов запрещенных и разрешенных соединений прицепил-характерные куски за одно и то же время. В это время комп стоял или игрушка вертелась. Характерная последовательность в логе заблокированных(как раз и вызавающая беспокойство): 17:14:10 - заблокированные ОР вх соединения с адр 60.15.15.199(порты с 1025 по 1029), 17:14:13 - попытка исх нетбиос на тот же адрес. При этом на компе существует только 1027 и тот закрыт ОР в режиме блокировки. Повторение этих событий не зависит от набора запущенных задач и может происходить и на просто включенном компе.Мне кажется, что это поведение считалки не совсем правильное, макс что она должна сама- это широковещ пакеты разгонять по подсети. Нетбиос убить несложно, но хочется понять, что происходит
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: