У меня есть такая запись в журнале SEP:
2011-04-05T10:52:37+02:00 SymantecServer SomeServer: SomePC,[SID: 23179]
OS Attack: MS Windows Server Service RPC Handling CVE-2008-4250 detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe,
Local: 10.90.27.172,
Local: 000000000000,
Remote: ,
Remote: 10.90.27.220,
Remote: 000000000000,Inbound,TCP,
Intrusion ID: 0,
Begin: 2011-04-05 10:28:37,
End: 2011-04-05 10:28:37,
Occurrences: 1,
Application: C:/WINDOWS/system32/ntoskrnl.exe,
Location: Default,
User: 123456,
Domain: SomeDomain
Я хочу подтвердить, что правильно понимаю. Это входящая связь TCP. Iow удаленный IP-адрес 10.90.27.220 пытается выявить некоторую уязвимость на локальном компьютере: 10.90.27.172
Поэтому нам следует больше беспокоиться об удаленной машине, чем о локальной. Или все наоборот?
Атакующий: 10.90.27.220 Жертва: 10.90.27.172
"Входящий" означает, что 10.90.27.172
атакованная машина (и, вероятно, та, которая генерирует журнал).
Зависит от того, что вы пытаетесь исправить. Вам, вероятно, стоит взглянуть на 10.90.27.220, поскольку именно он, скорее всего, запустил атаку.
10.90.27.220, который, как я полагаю, находится под вашим контролем из-за IP-адреса RFC1918, вероятно, был скомпрометирован. Он попытался использовать известную уязвимость (CVE-2008-4250, которая представляет собой атаку переполнения буфера при обработке RPC) 10.90.27.172.
То, как вы с этим справитесь, зависит от того, что это за машина 10.90.27.220. Возможно, вы имеете дело с проблемой безопасности порта (кто-то подключил что-то неавторизованное к вашей сети), проблемой брандмауэра (машине было разрешено подключиться, но она не находится под вашим контролем), мошенническим пользователем (запущенным metasploit или чем-то еще в вашей сети ) или зараженная вирусом рабочая станция (или сервер!), среди прочего.
"Inbound" означает, что 10.90.27.172 - это машина, подвергшаяся атаке, и злоумышленник пытается получить доступ к уязвимому ntoskrnl.exe. Это очень ясно