-
Junior Member
- Вес репутации
- 64
Apache и Winroute открывают много портов
Стоит сервак Windows 2000 Server Terminal Services. На нем Winroute Firewall в качестве сетевого экрана. Также на серваке стоит Apache+MySQL.
Так вот при запуске Apache и Winroute открывают много TCP-портов и слушают. Где-то в районе 1-2 тысяч штук каждый. Естественно при этом практически никакие сетевые сервисы на этом серваке не работают - все порты с 1024-ого и выше до пятитысячных уже заняты.
Переименовал Apache.exe - он после этого перестал так нехорошо себя вести, и как ему и положено сидит себе на 80-ом TCP-порте.
Естественно подозреваю, что это какой-то вирус/троян/бэкдор, перехвативающий то-ли запуск процессов, то-ли Winsock, то-ли все вместе. И видя или зная, что этим процессам разрешают ходить в инет, то открывают порты под их видом.
Пытался найти информацию по похожим случаям в поисковиках и на этом сайте - пока не нашел. Буду благодарен, если хотябы ткнете пальцем где в инете такое встречалось и обсуждалось. Симптомы больно уж характерные и заметные должны быть, плюс редкие, помоему.
Логи AVZ и пр. пока не приготовил - пишу из дома. Пока выкладываю дальнейшие подробности:
Сервак подключен одним концом в локальную сеть, а вторым в интернет (по совместительству пограничный firewall). Начались эти проблемы в тот момент, когда кто-то в локальной сети подхватил с какого-то крякерского сайта какую-то заразу.
Антивирус когда-то был Symantec, уже год с лишним как снесен. Сейчас антвирусов на серваке нет - да и запустить большинство из них не знаю как - они отказываются работать (а зачастую и устанавливаться вообще) на Server Terminal Services.
Прогнал на серваке кучу Anti-Adware, что-то нашли и вычистили, но пока результата нет. Помоему на компе все-таки сидит что-то типа Maxfiles (зараза такая), но на него, помоему, симптомы не похожи.
Anti-adware программы в количестве 3-4 штук сейчас на серваке все время активны. Поэтому в логах будет вариант с их CodeHijackами, и если смогу, то сделаю скан и без них.
P.S. Может заодно посоветуете что бы такого можно было из антивирусов на такой системе запустить, и где это взять.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 64
Диски стоят на FAT32, первый винт 120GB (<137GB) порезан на разделы, которые прекрасно видны из под MS-DOS. Активен первый раздел, винда стоит на втором. Так что, если есть какие-то сканеры руткитов и т.п. под дос или не очень большие (трафик денег стоит) образы для закатывания на диск, также буду премного благодарен (а-то Windows PE у меня нету в наличии, а впереди выходные).
P.S. А цеплять к другой машине боязно.
-
Есть drweb/386 - под DOS, но знаниями равен Windows-версии. http://download.drweb.com/cl/
А больше пока посоветовать нечего.
-
-
Junior Member
- Вес репутации
- 64
-
Junior Member
- Вес репутации
- 64
Спасибо за подсказку насчет Dr.Web, скачал, но еще не пробовал.
Кстати, засчет того, что диски FAT32, могу пробовать убирать любые файлы и возвращать на место их между загрузками системы. Так что, если на этот счет будут идеи - дайте знать тоже.
Задачи в schdulerе вроде бы все мои - правда ссылки не перепроверял.
Большинство программ из HKLM/S/M/W/CV/Run так сказать закомментированы - перед именем файла стоят значки подчеркивания.
Реально файлов типа D:\Documents and Settings\Guard\WINDOWS\system32\msafd.dll в этом каталоге нет - они все лежат в system32 в каталоге куда установлен Windows. Просто они указаны как запущенные из SystemRoot, а он под этим пользователем получается такой. Сами же программы были запущены не из под пользователя, а до входа. (правда некоторые файлы могут там оказаться, так что тоже могу посмотреть)
По поводу строк:
----------------
>>>> Возможно маскировка имени исполняемого файла 1528 winroute.exe, реальное имя - RT.EXE
>>>> Возможно маскировка имени исполняемого файла 2592 apav.exe, реальное имя - _Apa.exe
>>>> Возможно маскировка имени исполняемого файла 2284 apav.exe, реальное имя - _Apa.exe
--------------
Это я выключил после загрузки Apache и Winroute, переименовал их и запустил заново.
Я пробовал потом прогнать сканирование с отключенными всеми Anti-spyware программами - в этом случае UserMode перехватчики API не появились - остался только KernelMode принадлежащий тоже кому-то из них (помоему AVG).
Есть вопрос. А что значит: "Прямое чтение D:\W2KSP2\Temp\JETDC0A.tmp
" ? А-то может мне их там всех поудалять, или повынимать из под MSDOS и прислать ?
-
Да, миллион всего, глаза разбегаются...
Вот это в карантин попало? Если нет - дошлите.
Код:
D:\W2KSP2\system32\regadd.exe
Прямое чтение - значит, файл кем-то занят монопольно, и AVZ его читает на более низком уровне. Если больше ничего про такой файл нет, то и повода для беспокойства особого нет. JETDC0A.tmp - судя по имени, рабочий файл MS Jet.
Да, там в логе сейчас чьи порты висят? WinRoute?
-
-
Junior Member
- Вес репутации
- 64
Да, D:\W2KSP2\system32\regadd.exe в карантин попал и был залит на сайт мной сразу. Название файла сюда написать ? (я записал выданное название)
Куча открытых портов, это Winroute. Кстати, при сканировании с серых IP (10.0.0.0/8 ) эти порты сразу дают отлуп, а со стороны интернета на некоторых (на глаз - 1 из 50 или 100) TCP-соединение устанавливается, но дальше видать надо знать что туда посылать.
-
Junior Member
- Вес репутации
- 64
Может быть есть какой-нибудь автоматический софт, который бы сумел из TCP/IP service providerа (тот, что к winsocks цепляется) вытащить адрес callback-функции отвечающей за открытые порты, и по этому адресу уже код и кусок памяти вокруг него ? Или какой-нибудь подменитель этих service providerов, чтобы как-то поисследовать того, кто открывает порты.