Помогите пожалуйста.
Сервер Win2003 используется в роли DC и настроен на синхронизацию времени с интернет с ntp1.redcom.ru. Все коннекты логируются на шлюзе KerioWinroute Firewall.
Два дня назад заметил в логах Керио, что сервер, помимо синхронизации с ntp1.redcom.ru, пытается подключиться на 123порты диапазона частных сетей, конкретно: 172.24.0.0/16.
На сервере установлен Антивирус Касперского для файловых серверов, однако заразу никакую не обнаруживает. В безопасном режиме ни AVPTool ни CureIT ничего не нашли. Настройки в службе w32time никакие я также не менял.
Последний раз редактировалось AlexReznikoff; 05.09.2009 в 13:09.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Два дня назад заметил в логах Керио, что сервер, помимо синхронизации с ntp1.redcom.ru, пытается подключиться на 123порты диапазона частных сетей, конкретно: 172.24.0.0/16.
Служба NTP использует для своей работы протокол UDP и как раз 123 порт для синхронизации времени.
Сердце решает кого любить... Судьба решает с кем быть...
Да, я знаю что службы времени работает по 123 UDP порту, но меня смущает то что идет попытка соединиться с частной сетью 172.24.0.0/16.
Тогда как локальная сеть имеет адрес 192,168,0,0/24, а в интернете такого адреса тоже быть не может. И раньше такого не наблюдалось
файл сохранен как 090907_022919_virusinfo_files_SERVER_4aa437bfc992d .zip
Размер файла 4722889
MD5 9f2516d12ee757ef12833a2c6864405a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time - экспортируйте в REG-файл, заархивируйте и приложите. А ещё я бы посмотрел, что творится в DNS, который ваш домен поддерживает, ноги могут расти оттуда.
nslookup ntp1.redcom.ru разрешается в один ip адрес - 212.19.2.7
Все зоны на ДНС - идеальны.
Уже грешу на терминальный сервер (поднял его за день до появления проблемы), хотя связи не вижу.
Сетка 172.16.x.x у вас никак не используется (для организации VPN'ов, например)? В этом есть полная уверенность?
Я бы, наверное, посоветовал поставить на сервер какой-либо нетяжелый сниффер, типа WireShark/Ethereal - в этом случае вы смогли бы отследить, какие запросы/пакеты предшествуют обращению сервера к сети 172.24.x.x (если этому событию вообще что-либо предшествует в данном случае). По крайней мере, вы смогли бы понять, задействован ли в этом процессе DNS, или нет. Может и еще что-то "полезное" увидите...
Всем огромное спасибо!
Wireshark помог, оказывается один юзер подключал МТС 3g модем и через него выходил в интернет, и это был его ip адрес, который пытался синхронизировать время
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: