Показано с 1 по 8 из 8.

Apache и Winroute открывают много портов (заявка № 7158)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44

    Question Apache и Winroute открывают много портов

    Стоит сервак Windows 2000 Server Terminal Services. На нем Winroute Firewall в качестве сетевого экрана. Также на серваке стоит Apache+MySQL.

    Так вот при запуске Apache и Winroute открывают много TCP-портов и слушают. Где-то в районе 1-2 тысяч штук каждый. Естественно при этом практически никакие сетевые сервисы на этом серваке не работают - все порты с 1024-ого и выше до пятитысячных уже заняты.

    Переименовал Apache.exe - он после этого перестал так нехорошо себя вести, и как ему и положено сидит себе на 80-ом TCP-порте.

    Естественно подозреваю, что это какой-то вирус/троян/бэкдор, перехвативающий то-ли запуск процессов, то-ли Winsock, то-ли все вместе. И видя или зная, что этим процессам разрешают ходить в инет, то открывают порты под их видом.

    Пытался найти информацию по похожим случаям в поисковиках и на этом сайте - пока не нашел. Буду благодарен, если хотябы ткнете пальцем где в инете такое встречалось и обсуждалось. Симптомы больно уж характерные и заметные должны быть, плюс редкие, помоему.

    Логи AVZ и пр. пока не приготовил - пишу из дома. Пока выкладываю дальнейшие подробности:

    Сервак подключен одним концом в локальную сеть, а вторым в интернет (по совместительству пограничный firewall). Начались эти проблемы в тот момент, когда кто-то в локальной сети подхватил с какого-то крякерского сайта какую-то заразу.

    Антивирус когда-то был Symantec, уже год с лишним как снесен. Сейчас антвирусов на серваке нет - да и запустить большинство из них не знаю как - они отказываются работать (а зачастую и устанавливаться вообще) на Server Terminal Services.

    Прогнал на серваке кучу Anti-Adware, что-то нашли и вычистили, но пока результата нет. Помоему на компе все-таки сидит что-то типа Maxfiles (зараза такая), но на него, помоему, симптомы не похожи.

    Anti-adware программы в количестве 3-4 штук сейчас на серваке все время активны. Поэтому в логах будет вариант с их CodeHijackами, и если смогу, то сделаю скан и без них.

    P.S. Может заодно посоветуете что бы такого можно было из антивирусов на такой системе запустить, и где это взять.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44
    Диски стоят на FAT32, первый винт 120GB (<137GB) порезан на разделы, которые прекрасно видны из под MS-DOS. Активен первый раздел, винда стоит на втором. Так что, если есть какие-то сканеры руткитов и т.п. под дос или не очень большие (трафик денег стоит) образы для закатывания на диск, также буду премного благодарен (а-то Windows PE у меня нету в наличии, а впереди выходные).

    P.S. А цеплять к другой машине боязно.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Есть drweb/386 - под DOS, но знаниями равен Windows-версии. http://download.drweb.com/cl/

    А больше пока посоветовать нечего.

  5. #4
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44
    Прогнал пункт 8 из правил. (10-ый не заметил )
    Файл прикладываю. Сразу посылаю закарантиненные файлы, происхождение которых я не знаю. Остальные подозрительные я вроде бы в курсе откудова и что это такое. В частности каталог D:\MODEM это фидошные эхо-конференции (форумы можно сказать ) и файлэхо-конференции.

    Но если и среди прочего там что-то есть подозрительное - могу выслать.
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44
    Спасибо за подсказку насчет Dr.Web, скачал, но еще не пробовал.

    Кстати, засчет того, что диски FAT32, могу пробовать убирать любые файлы и возвращать на место их между загрузками системы. Так что, если на этот счет будут идеи - дайте знать тоже.

    Задачи в schdulerе вроде бы все мои - правда ссылки не перепроверял.

    Большинство программ из HKLM/S/M/W/CV/Run так сказать закомментированы - перед именем файла стоят значки подчеркивания.

    Реально файлов типа D:\Documents and Settings\Guard\WINDOWS\system32\msafd.dll в этом каталоге нет - они все лежат в system32 в каталоге куда установлен Windows. Просто они указаны как запущенные из SystemRoot, а он под этим пользователем получается такой. Сами же программы были запущены не из под пользователя, а до входа. (правда некоторые файлы могут там оказаться, так что тоже могу посмотреть)

    По поводу строк:
    ----------------
    >>>> Возможно маскировка имени исполняемого файла 1528 winroute.exe, реальное имя - RT.EXE
    >>>> Возможно маскировка имени исполняемого файла 2592 apav.exe, реальное имя - _Apa.exe
    >>>> Возможно маскировка имени исполняемого файла 2284 apav.exe, реальное имя - _Apa.exe
    --------------
    Это я выключил после загрузки Apache и Winroute, переименовал их и запустил заново.

    Я пробовал потом прогнать сканирование с отключенными всеми Anti-spyware программами - в этом случае UserMode перехватчики API не появились - остался только KernelMode принадлежащий тоже кому-то из них (помоему AVG).

    Есть вопрос. А что значит: "Прямое чтение D:\W2KSP2\Temp\JETDC0A.tmp
    " ? А-то может мне их там всех поудалять, или повынимать из под MSDOS и прислать ?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1295
    Да, миллион всего, глаза разбегаются...

    Вот это в карантин попало? Если нет - дошлите.
    Код:
    D:\W2KSP2\system32\regadd.exe
    Прямое чтение - значит, файл кем-то занят монопольно, и AVZ его читает на более низком уровне. Если больше ничего про такой файл нет, то и повода для беспокойства особого нет. JETDC0A.tmp - судя по имени, рабочий файл MS Jet.

    Да, там в логе сейчас чьи порты висят? WinRoute?

  8. #7
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44
    Да, D:\W2KSP2\system32\regadd.exe в карантин попал и был залит на сайт мной сразу. Название файла сюда написать ? (я записал выданное название)

    Куча открытых портов, это Winroute. Кстати, при сканировании с серых IP (10.0.0.0/8 ) эти порты сразу дают отлуп, а со стороны интернета на некоторых (на глаз - 1 из 50 или 100) TCP-соединение устанавливается, но дальше видать надо знать что туда посылать.

  9. #8
    Junior Member Репутация
    Регистрация
    15.12.2006
    Сообщений
    6
    Вес репутации
    44
    Может быть есть какой-нибудь автоматический софт, который бы сумел из TCP/IP service providerа (тот, что к winsocks цепляется) вытащить адрес callback-функции отвечающей за открытые порты, и по этому адресу уже код и кусок памяти вокруг него ? Или какой-нибудь подменитель этих service providerов, чтобы как-то поисследовать того, кто открывает порты.

  • Уважаемый(ая) Bulat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Много открытых TCP портов
      От Crow54 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 18:40
    2. Система открывает очень много портов
      От Ice в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 04:13
    3. Ответов: 4
      Последнее сообщение: 22.02.2009, 01:36
    4. Открыто слишком много портов
      От Monolith в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.10.2008, 21:20
    5. Ответов: 13
      Последнее сообщение: 10.08.2006, 16:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01201 seconds with 17 queries