Показано с 1 по 10 из 10.

Сервер ломится на неизвестные адреса (123 UDP) (заявка № 54017)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2009
    Сообщений
    5
    Вес репутации
    54

    Thumbs up Сервер ломится на неизвестные адреса (123 UDP)

    Помогите пожалуйста.
    Сервер Win2003 используется в роли DC и настроен на синхронизацию времени с интернет с ntp1.redcom.ru. Все коннекты логируются на шлюзе KerioWinroute Firewall.
    Два дня назад заметил в логах Керио, что сервер, помимо синхронизации с ntp1.redcom.ru, пытается подключиться на 123порты диапазона частных сетей, конкретно: 172.24.0.0/16.
    На сервере установлен Антивирус Касперского для файловых серверов, однако заразу никакую не обнаруживает. В безопасном режиме ни AVPTool ни CureIT ничего не нашли. Настройки в службе w32time никакие я также не менял.
    Вложения Вложения
    Последний раз редактировалось AlexReznikoff; 05.09.2009 в 13:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Ничего подозрительного в логах нет.

    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

    Цитата Сообщение от AlexReznikoff Посмотреть сообщение
    Два дня назад заметил в логах Керио, что сервер, помимо синхронизации с ntp1.redcom.ru, пытается подключиться на 123порты диапазона частных сетей, конкретно: 172.24.0.0/16.
    Служба NTP использует для своей работы протокол UDP и как раз 123 порт для синхронизации времени.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2009
    Сообщений
    5
    Вес репутации
    54
    Да, я знаю что службы времени работает по 123 UDP порту, но меня смущает то что идет попытка соединиться с частной сетью 172.24.0.0/16.
    Тогда как локальная сеть имеет адрес 192,168,0,0/24, а в интернете такого адреса тоже быть не может. И раньше такого не наблюдалось

    файл сохранен как 090907_022919_virusinfo_files_SERVER_4aa437bfc992d .zip
    Размер файла 4722889
    MD5 9f2516d12ee757ef12833a2c6864405a

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time - экспортируйте в REG-файл, заархивируйте и приложите. А ещё я бы посмотрел, что творится в DNS, который ваш домен поддерживает, ноги могут расти оттуда.

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2009
    Сообщений
    5
    Вес репутации
    54
    А какие настройки ДНС выложить?
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    В параметрах службы криминала не увидел.

    Цитата Сообщение от AlexReznikoff Посмотреть сообщение
    А какие настройки ДНС выложить?
    Для начала я бы спросил у него IP-адрес ntp1.redcom.ru - мало ли, прицепилось что-нибудь. А дальше... просто на зоны поглядеть, вдруг мысль появится.

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2009
    Сообщений
    5
    Вес репутации
    54
    nslookup ntp1.redcom.ru разрешается в один ip адрес - 212.19.2.7
    Все зоны на ДНС - идеальны.
    Уже грешу на терминальный сервер (поднял его за день до появления проблемы), хотя связи не вижу.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Сетка 172.16.x.x у вас никак не используется (для организации VPN'ов, например)? В этом есть полная уверенность?

    Я бы, наверное, посоветовал поставить на сервер какой-либо нетяжелый сниффер, типа WireShark/Ethereal - в этом случае вы смогли бы отследить, какие запросы/пакеты предшествуют обращению сервера к сети 172.24.x.x (если этому событию вообще что-либо предшествует в данном случае). По крайней мере, вы смогли бы понять, задействован ли в этом процессе DNS, или нет. Может и еще что-то "полезное" увидите...

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2009
    Сообщений
    5
    Вес репутации
    54
    Всем огромное спасибо!
    Wireshark помог, оказывается один юзер подключал МТС 3g модем и через него выходил в интернет, и это был его ip адрес, который пытался синхронизировать время

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Цитата Сообщение от AlexReznikoff Посмотреть сообщение
    файл сохранен как 090907_022919_virusinfo_files_SERVER_4aa437bfc992d .zip
    Размер файла 4722889
    MD5 9f2516d12ee757ef12833a2c6864405a
    Ответ http://virusinfo.info/showpost.php?p...postcount=2711
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) AlexReznikoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Сервер ломится на почтовик по порту 25
      От Slaweek в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.07.2010, 11:07
    2. Подмена адреса интернета на другой. Сервер
      От antiseptic78 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.06.2010, 13:21
    3. Неизвестные вирусы
      От No Access в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.12.2009, 18:55
    4. Неизвестные хакеры взломали Web сервер проекта CentOS
      От ALEX(XX) в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 07.07.2009, 18:11
    5. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01105 seconds with 20 queries