У меня есть Windows Server 2008, работающая как контроллер домена. В журналах брандмауэра Cisco ASA я заметил, что этот ящик постоянно отправляет (например, тысячу запросов в секунду) запросы на TCP-порт 445 на внешние хосты. Я приложил усилия, чтобы запретить этому исходящему трафику попадать в Интернет (с помощью ASA), однако я бы хотел, чтобы эти запросы вообще прекратились. Я пробовал отключить TCP / IP через NetBIOS. Я даже включил расширенный брандмауэр Windows на самом устройстве, чтобы заблокировать исходящий 445, но ASA все еще обнаруживает этот конкретный трафик, попадающий на него. У меня есть другие блоки DC и подобные блоки, которые не ведут себя так же, как этот блок.
Это нормально? Есть ли способ остановить этот спам? Я заразился?
До того, как я запретил использовать свой брандмауэр, он отправлял IP-адреса в Интернете. В системном журнале это выглядит так:
4 июня 2010 г. 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Запретить tcp src внутри: 192.168.50.15/59890 dst снаружи: 38.250.160.20/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 2010 г. 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Запретить tcp src внутри: 192.168.50.15/59808 dst снаружи: 37.216.197.51/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 2010 г. 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Запретить tcp src внутри: 192.168.50.15/59853 dst снаружи: 158.105.129.67/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 2010 г. 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Запретить tcp src внутри: 192.168.50.15/59811 dst снаружи: 69.158.49.125/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0]
Спасибо, Вселенная.
k. это был вирус.