Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Just Maciej

Botnet, robak. Zapychanie uploadu przez ataki DoS

dodany przez Just Maciej, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Just Maciej    0

Just Maciej
Napisano

Witajcie

 

Od kilku dni borykam się z problemem zapychania łącza przez mój serwer (2008 R2). Początkowo podejrzewałem błędną konfigurację roli serwera DNS jednak pomimo jej wyłączenia łącze jest wciąż zapchane przez proces lsass.exe.

Z krótkiego śledztwa wywnioskowałem, że serwer przynależy do botnetu i atakuje inne serwery (jak się okazuje nie tylko serwery DNS). Eset Endpoint nic nie wykrywa, tak samo Malwarebytes (łącznie z ADWCleanerem).

Oczywiście procesu lsass.exe nie można ani ubić ani wstrzymać. Udaje się to wyłącznie w trybie awaryjnym ale powoduje to całkowite zapchanie pracy dysku oraz obciążenie procesora setkoma wątkami.

 

Oto logi z ocenzurowanymi nazwami kont (x i y) zarówno w domenie jak i na samym serwerze. Ocenzurowana została również nazwa domeny (z).

Proszę o pomoc, ciężko korzystać z tak obciążonej sieci a do czasu powrotu administratora sieci dysk ssd serwera może wyzionąć ducha

 

https://pastebin.com/pzYFKLw4

 

https://pastebin.com/JiDx9E7M

 

https://pastebin.com/aJAjqdwt

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Nie widzę tu żadnej infekcji.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

S3 IntelTurboBoostMax; system32\DRIVERS\IntelNit.sys [X]

S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2016.SP1\WNt600x64\Sandra.sys [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKLM\...\Policies\Explorer: [showSuperHidden] 1

GroupPolicy: Ograniczenia ? <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Ano też nie widzę a mimo wszystko objawy są dość dobrze widoczne (upload zapchany, mnogość połączeń zewnętrznych od lsass.exe mimo odłączonej sieci wewnętrznej). Objawy Sassera bez sassera :]

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Po wyłączeniu usług w domenie Active Directory jest spokój więc to chyba jednak błędna konfiguracja, dzięki za chęci :]

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Aktualizacja

 

Okazało się finalnie, że jednak nie problemem była błędna konfiguracja Active Directory ani też robak. Serwer był jednak elementem BotNetu z powodu dziury programowej Windows Serwer 2008 R2 w protokole LDAP. Jak, że w sieci nie ma takiej informacji po polsku to jedynym rozwiązaniem tego problemu jest zablokowanie portów 389 TCP i UDP dla reguł wychodzących i przychodzący

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Odpowiedzi

    • forfun
      Ukraina - Rosyjska inwazja 2022

      Przez forfun · Napisano

      Nie ma czegoś takiego... ta zgoda podobno istniała już kilka razy w ciągu kilku miesięcy, a jednak... Obecnie Partia Republikańska w większości to opłacane przez Putina pionki, mniejszość to ta, która chce pomóc Ukrainie. Do tego masz karierowiczów, którzy zrobią wszystko(Johnson, który bez przyzwolenia Trumpa nie kiwnie palcem). Trump jest najważniejszym politykiem po prawej stronie w USA i to on decyduje o kształcie i kierunkach polityki Partii Republikańskiej. Właśnie z tego powodu rozdzielili te pakiety pomocowe, bo okazało się, że część demokratów nie chciała poprzeć pomocy dla Izraela(morderstwa osób cywilnych w Gazie), a tym samym dla Ukrainy i zrobił się kłopot. Teraz pomoc dla Izraela przejdzie, a pomoc dla Ukrainy zostanie uwalona, jeśli w ogóle zostanie poddana pod głosowanie. Reagan przewraca się w grobie, bo jest totalnie niezrozumiałe czym stała się prawica w USA i czyich interesów broni.
    • Send1N
      ASUS RTX4070 OC DUAL - wysokie? temperatury

      Przez Send1N · Napisano

      To już druga osoba bodajże w tym temacie z tym samym modelem i po własnej aplikacji pasty taka duża różnica, gwarancji nie trzeba żegnać jak przyrosty są tak fajne to warto to zrobić, jak jest plomba na którejś śrubie to można zamówić i nakleić jeżeli np suszarka + żyletka nie dały rady lub w ogóle ktoś robi dziurę w plombie od razu  Chwile temu zamawiałem z alledrogo do xfx https://allegro.pl/oferta/5x-naklejki-gwarancyjne-asus-msi-palit-xfx-evga-gigabyte-zotac-15362612792
    • SherrySherryLady
      Ciche wentylatory do obudowy

      Przez SherrySherryLady · Napisano

      Dane CFM z opakowań producentów nie można porównywać między nimi, a najlepiej kompletnie na te dane nie patrzeć. Nie dość, że nie ma żadnego ogólne standardu względem którego dokonywane są te pomiary, więc każdy producent mierzy jak uważa, to dodatkowo zarówno te dotyczące przepływu jak i ciśnienia są dokonywane przy skrajnych i nierealnych sytuacjach. Na przykład w przypadku ilości przepchniętego powietrza mogą być stosowane kilkudziesięciocentymetrowe tunele z "prostownikami przepływu" na końcu którego znajduje sie wentylator i po przeciwnej stronie przyrząd do pomiaru, czyli coś czego nikt w domowym komputerze nie zastosuje przez co taki wynik jest niestosowalny w praktyce dla wentylatora zamontowanego bezpośrednio na radiatorze (czy to od wieży chłodzenia czy układu cieczą) lub kratce obudowy. Zostają tylko praktyczne testy jak np. TechPowerUP czy HWCooling.net lub takie przy stałej metodologii dla wszystkich śmigieł jak np. Cybenetics. W takim przypadku będziesz miał miarodajne wyniki. Nie potrzebujesz takiej przejściówki dopóki gniazdo do którego wpinasz 4 pinową wtyczkę nie jest blokowane plastikiem z boku w którym wtyczka by wystawała (a jeżeli blokuje to możesz próbować tę blokadę usunąć). Rozstaw pinów w wentylatorze 2, 3 i 4 pinowym jest teoretycznie identyczny, bo dwa pierwsze piny to kolejno uziemienie i napięcie, kolejny to pomiar obrotów i ostatni czwarty to pin do sterowania PWM. Wentylator 2 i 3 pin można sterować tylko poprzez zmianę napięcia pracy, a dla wentylatora PWM nie ma teoretycznie znaczenia czy steruje się go sygnałem czy napięciem, tak długo jak jego sama konstrukcja nie przeszkadza w sterowaniu jego obrotami poprzez zmianę napięcia zamiast sygnałem modulacyjnym (jak np. nie powinno się robić w przypadku łożysk magnetycznych jak w wentylatorach Phanteks T30 lub Corsair ML120 czy konstrukcjach Sunona MagLev).
    • skunRace
      ASUS RTX4070 OC DUAL - wysokie? temperatury

      Przez skunRace · Napisano

      Świetny ruch, ale mimo wszystko wk*****m się niemiłosiernie, że występują takie egzemplarze. Sam polecam/poleciłem ten model nie jednemu znajomemu i wszystko jest ok. Super, że pomogło, przykro, że Asus wypuszcza takie buble w postaci Asus Dual, które człowiek musi sobie poprawiać sam. Wiadomo, że mógłbyś to próbować zrobić w inny sposób i szkoda, że tak fajny model jakim jest Asus Dual, potrafi wypuścić takie gówno.
    • Send1N
      Jak to jest z tymi nowymi laptopami, cewki i inne dolegliwości.

      Przez Send1N · Napisano

      Jak laptop działa stabilnie po mimo whea w dzienniku zdarzeń to możesz olać (myślałem że miałeś co innego na myśli pisząc "sypie błędami") albo spróbuj zrobić te rzeczy o których piszą w tym temacie z reddita no może oprócz wymiany dysku na gen 3   

  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...