Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Just Maciej

Botnet, robak. Zapychanie uploadu przez ataki DoS

dodany przez Just Maciej, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Just Maciej    0

Just Maciej
Napisano

Witajcie

 

Od kilku dni borykam się z problemem zapychania łącza przez mój serwer (2008 R2). Początkowo podejrzewałem błędną konfigurację roli serwera DNS jednak pomimo jej wyłączenia łącze jest wciąż zapchane przez proces lsass.exe.

Z krótkiego śledztwa wywnioskowałem, że serwer przynależy do botnetu i atakuje inne serwery (jak się okazuje nie tylko serwery DNS). Eset Endpoint nic nie wykrywa, tak samo Malwarebytes (łącznie z ADWCleanerem).

Oczywiście procesu lsass.exe nie można ani ubić ani wstrzymać. Udaje się to wyłącznie w trybie awaryjnym ale powoduje to całkowite zapchanie pracy dysku oraz obciążenie procesora setkoma wątkami.

 

Oto logi z ocenzurowanymi nazwami kont (x i y) zarówno w domenie jak i na samym serwerze. Ocenzurowana została również nazwa domeny (z).

Proszę o pomoc, ciężko korzystać z tak obciążonej sieci a do czasu powrotu administratora sieci dysk ssd serwera może wyzionąć ducha

 

https://pastebin.com/pzYFKLw4

 

https://pastebin.com/JiDx9E7M

 

https://pastebin.com/aJAjqdwt

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano

Nie widzę tu żadnej infekcji.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

S3 IntelTurboBoostMax; system32\DRIVERS\IntelNit.sys [X]

S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2016.SP1\WNt600x64\Sandra.sys [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKLM\...\Policies\Explorer: [showSuperHidden] 1

GroupPolicy: Ograniczenia ? <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Ano też nie widzę a mimo wszystko objawy są dość dobrze widoczne (upload zapchany, mnogość połączeń zewnętrznych od lsass.exe mimo odłączonej sieci wewnętrznej). Objawy Sassera bez sassera :]

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Po wyłączeniu usług w domenie Active Directory jest spokój więc to chyba jednak błędna konfiguracja, dzięki za chęci :]

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Just Maciej    0

Just Maciej
Napisano

Aktualizacja

 

Okazało się finalnie, że jednak nie problemem była błędna konfiguracja Active Directory ani też robak. Serwer był jednak elementem BotNetu z powodu dziury programowej Windows Serwer 2008 R2 w protokole LDAP. Jak, że w sieci nie ma takiej informacji po polsku to jedynym rozwiązaniem tego problemu jest zablokowanie portów 389 TCP i UDP dla reguł wychodzących i przychodzący

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...