-
Junior Member
- Вес репутации
- 60
проблема с dns или троян?
Помогите, пожалуйста, разобраться в возникшей проблеме.
В логах dns-сервера, обслуживающего AD, нахожу следующие перманентно повторяющиеся записи -
На DNS сервере обнаружено недопустимое имя домена в пакете от 209.130.152.244.
Пакет будет отклонен. В данных события содержится пакет DNS.
Код ID 5504.
Делаю nslookup , получаю что-то такое - available.limestonenetworks.com
Подскажите - что за напасть такая?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А с какой радости DNS, обслуживающий внутреннюю (по идее) сеть, вообще настроен принимать пакеты извне? Или у него попутно кэширование наружки настроено?
Можно в данных посмотреть, какое там недопустимое имя передаётся. Можно ещё попытаться выудить из логов источник запроса, на который приходит такой ответ (скорее всего, это именно ответ).
-
-
Junior Member
- Вес репутации
- 60
Вы совершенно правильно ухватили суть проблемы.
Вот и я понять не могу, при чем тут внешний ip.
Сервер не кеширующий.
Как " посмотреть в данных"?
-
Открыть для просмотра запись из хурнала. Там внизу данные в двоичном и символьном виде.
Я не знаю, как в MS DNS, а для BIND, например, можно ограничить подсети, с которыми он работает. Кто может у него спрашивать, от кого он может принимать апдейты.
Зона "." определена? Если да, то как?
-
-
Junior Member
- Вес репутации
- 60
Зона "." не определена. Насколько могу судить.
Как это посмотреть?
Кстати, первое, что сделал, взявшись за эту сетку - исправил конфликт, записи о котором нашел в логах DNS; было две копии зоны. (ID 4515, Зона xxxx.xxx.xx была ранее загружена из раздела каталога MicrosoftDNS, однако в разделе каталога DomainDnsZones.xxxx.xxx.xx обнаружена другая копия зоны. DNS-сервер будет игнорировать новую копию зоны. Этот конфликт должен быть разрешен максимально быстро и т.д.)
Не знаю, есть ли здесь связь; но обе эти проблемы существовали параллельно.
Вот запись из журнала. Что с ней делать?
слова 0000: 0580dc57 00000000 00000000
-
Может глупо, но все-же: посмотрите, в свойствах DNS-сервера в закладке "Пересылка" (в английском варианте, думаю, "forwarding") точно нет никаких левых адресов?
-
-
Junior Member
- Вес репутации
- 60
Там вообще никаких адресов; инет идет через proxy.
-
UDP-пакеты так просто через прокси не бегают. То есть, машина сама по себе наружу не глядит, маршрутов наружу не имеет, и снаружи к ней 53 порт не проброшен?
-
-
Junior Member
- Вес репутации
- 60
Хм... можете объяснить мне кое-что?
Здесь два полномочных dns-а; forwarding не настроен ни на одном. Тем не менее - запускаю cmd на любой раб. станции, ping mail.ru , и все получается - имя разрешено. Каким образом удается осуществить итерационный запрос к dns прова? если пересылка не настроена, а в свойствах tcp прописаны только полномочные для домена dns?
Правда, в свойствах dns, на вкладке Дополнительно расставлены галки в чек-боксах
Дополнительные службы BIND
Включить циклическое обслуживание
Включить расстановку по адресу
Включить безопасный кэш
Но все равно; как это возможно?
-
Junior Member
- Вес репутации
- 60
НУ я бы посмотрел что скажет
nslookup mail.ru
-
Junior Member
- Вес репутации
- 60
относительно dns понятно... инет шел по корневым ссылкам, как и следовало ожидать... раз уж форвардинга нет.
Но буду благодарен, Rimlyanin, если скажешь что-нить по др. вопросам, из-за которых и поднималась эта тема.