Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Большой исходящий трафик на Windows server (заявка № 227104)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1

    Большой исходящий трафик на Windows server

    Добрый день! последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту. Трафик поднимается до 70мбит, при этом канал у меня на 15мбит. По этому инет начинает лагать, порт закрыть не могу, иначе отваливается AD. Помогите плиз ;(
    Вложения Вложения
    Последний раз редактировалось AlexKoin13; 24.08.2021 в 12:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,297
    Вес репутации
    364
    Уважаемый(ая) AlexKoin13, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Логи прикрепил

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Цитата Сообщение от AlexKoin13 Посмотреть сообщение
    последнее время наблюдаю большой исходящий трафик на Windows server 2016 от lsass.exe по 389 порту
    Это исходящий ОТ этого сервера по LDAP, так? Можете в Wireshark сделать захват трафика на секунд 5-10 именно между серверами, фильтр захвата ip.addr== ip Windows server 2016? Результат упаковать архиватором, в облако и мне ссылку в личку.

    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security security.evtx', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=96m Events.7z *.evtx', 1, 300000, false);
    ExitAVZ;
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку опять-таки, в личном сообщении.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Первый Код не выявил уязвимостей. Второй выполнил и результат отправил вам в личку, Wireshark тоже сделал, не уверен что правильно. Весь тафик идет на какие то левые адреса
    Безымянный.png

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Готово
    Вложения Вложения
    • Тип файла: rar Logs.rar (18.4 Кб, 3 просмотров)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cKkys5u\"",Filter="__EventFilter.Name=\"fKkys5u\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cXlHsPrIFizd\"",Filter="__EventFilter.Name=\"fXlHsPrIFizd\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cgpaVAXD\"",Filter="__EventFilter.Name=\"fgpaVAXD\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cqBJ3iY2jesy\"",Filter="__EventFilter.Name=\"fqBJ3iY2jesy\"::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    И после этого сделайте полный образ автозапуска uVS.
    Последний раз редактировалось Vvvyg; 26.08.2021 в 21:27.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    готово
    Вложения Вложения
    • Тип файла: rar Fixlog.rar (435 байт, 2 просмотров)

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    fixlist содержимое:
    *****************

    *****************


    ==== Конец от Fixlog 12:44:36 ====
    Что-то пошло не так, не сработало.

    Образ автозапуска посмотрю позже.

    - - - - -Добавлено - - - - -

    Почистим то, что через FRST не вышло.
    копируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    regt 39
    deltmp
    delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FGPAVAXD]
    delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FKKYS5U]
    delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FQBJ3IY2JESY]
    delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FXLHSPRIFIZD]
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    del %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
    del %SystemDrive%\USERS\A.ARLASHKIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GOOGLE CHROME.LNK
    del %SystemDrive%\USERS\A.ARLASHKIN\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    Перезагрузите сервер.
    Сообщите, что с проблемой.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Сделал, скрипт выполнился успешно, перезагрузил, но ничего не изменилось, исходящий трафик примерно 50мб/сек.
    Изображения Изображения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Теперь новый образ нужен. Включили скриптом отслеживание процессов, может, теперь что-то новое увидим.
    WBR,
    Vadim

  14. #13
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Теперь новый образ нужен. Включили скриптом отслеживание процессов, может, теперь что-то новое увидим.
    скинул в лс

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    zoo %Sys32%\XBLGAMEUPDATETASK.EXE
    delall %Sys32%\XBLGAMEUPDATETASK.EXE
    apply
    czoo
    deltmp
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Перезагрузите систему.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Готово.
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    После скрипта и перезагрузки лучше не стало?
    WBR,
    Vadim

  18. #17
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    После скрипта и перезагрузки лучше не стало?
    Неа
    Изображения Изображения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Жду новый образ. Можно сюда ссылку, там нет чувствительной информации.
    WBR,
    Vadim

  20. #19
    Junior Member Репутация
    Регистрация
    24.08.2021
    Сообщений
    11
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Жду новый образ. Можно сюда ссылку, там нет чувствительной информации.
    https://drive.google.com/file/d/1r2E...ew?usp=sharing

    готво

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    В общем, так примерно я вижу ситуацию.
    Методы поиска и удаления угроз, которые используются на этом и подобных форумах, применимы для обычных рабочих станций. Пойман лишь один классический троян, его удаление ничего не изменило.
    У вас задача - провести серьёзный аудит безопасности IT инфраструктуры, включая AD, MS Exchange, IIS. С этими приложениями я не работал, могу давать лишь ссылки на уязвимости, через которые вас, скорее всего взломали.
    Снаружи ваша сеть выглядит как изба, где все двери и окна нараспашку: открыто множество портов: Microsoft IIS на 80 и 81 портах (неработающие страницы), kerberos - 88, порты, которые наружу из Windows вообще торчать не должны: Microsoft Windows RPC, Microsoft lpd, .NET Message Framing и пр.
    На 3268-м порту - LDAP, по которому у вас трафик бешеный. И много всего ещё, отчёт о сканировании скинул в личку.
    Почему Windows server нормально не натируется за шлюзом на Linux, а, похоже, просто перенаправляются все запросы к нему, да ещё и на отдельный внешний ip - непонятно.

    При такой "открытости" у вас в сети может и не быть троянов, либо они не на сервере, а на рабочих станциях. либо просто сервером управляют извне.

    Разбираться со всем этим надо специалисту на месте, и не моей квалификации.

    В первую очередь закрывайте всё, что не нужно снаружи, без этого всё бесполезно.
    WBR,
    Vadim

Страница 1 из 2 12 Последняя

Похожие темы

  1. Большой исходящий трафик
    От sercarlos в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 22.02.2009, 03:10
  2. Большой исходящий трафик!..
    От AndyLeeC в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.02.2009, 02:58
  3. Ответов: 7
    Последнее сообщение: 22.02.2009, 01:46
  4. Ответов: 8
    Последнее сообщение: 22.02.2009, 01:39
  5. Ответов: 4
    Последнее сообщение: 07.03.2007, 21:02

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00443 seconds with 18 queries