Добрый день! последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту. Трафик поднимается до 70мбит, при этом канал у меня на 15мбит. По этому инет начинает лагать, порт закрыть не могу, иначе отваливается AD. Помогите плиз ;(
Последний раз редактировалось AlexKoin13; 24.08.2021 в 12:41.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) AlexKoin13, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту
Это исходящий ОТ этого сервера по LDAP, так? Можете в Wireshark сделать захват трафика на секунд 5-10 именно между серверами, фильтр захвата ip.addr== ip Windows server 2016? Результат упаковать архиватором, в облако и мне ссылку в личку.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку опять-таки, в личном сообщении.
Первый Код не выявил уязвимостей. Второй выполнил и результат отправил вам в личку, Wireshark тоже сделал, не уверен что правильно. Весь тафик идет на какие то левые адреса Безымянный.png
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
И после этого сделайте полный образ автозапуска uVS.
Последний раз редактировалось Vvvyg; 26.08.2021 в 21:27.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Перезагрузите систему.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В общем, так примерно я вижу ситуацию.
Методы поиска и удаления угроз, которые используются на этом и подобных форумах, применимы для обычных рабочих станций. Пойман лишь один классический троян, его удаление ничего не изменило.
У вас задача - провести серьёзный аудит безопасности IT инфраструктуры, включая AD, MS Exchange, IIS. С этими приложениями я не работал, могу давать лишь ссылки на уязвимости, через которые вас, скорее всего взломали.
Снаружи ваша сеть выглядит как изба, где все двери и окна нараспашку: открыто множество портов: Microsoft IIS на 80 и 81 портах (неработающие страницы), kerberos - 88, порты, которые наружу из Windows вообще торчать не должны: Microsoft Windows RPC, Microsoft lpd, .NET Message Framing и пр.
На 3268-м порту - LDAP, по которому у вас трафик бешеный. И много всего ещё, отчёт о сканировании скинул в личку.
Почему Windows server нормально не натируется за шлюзом на Linux, а, похоже, просто перенаправляются все запросы к нему, да ещё и на отдельный внешний ip - непонятно.
При такой "открытости" у вас в сети может и не быть троянов, либо они не на сервере, а на рабочих станциях. либо просто сервером управляют извне.
Разбираться со всем этим надо специалисту на месте, и не моей квалификации.
В первую очередь закрывайте всё, что не нужно снаружи, без этого всё бесполезно.