ドメイン コントローラとして実行している Windows Server 2008 ボックスがあります。Cisco ASA ファイアウォール ログで、このボックスが TCP ポート 445 で外部ホストにリクエストを継続的に送信していることに気付きました (1 秒あたり 1,000 件程度)。この送信トラフィックがインターネットに流れないように (ASA を使用して) 努力しましたが、これらのリクエストがまったく発生しないようにしたいと考えています。NetBIOS 上の TCP/IP を無効にしてみました。ボックス自体で Windows アドバンスト ファイアウォールをオンにして送信 445 をブロックしましたが、ASA は依然としてこの特定のトラフィックを検出します。このボックスと同じように動作しない他の DC や同様のタイプのボックスがあります。
これは正常ですか? このスパム送信を停止する方法はありますか? 感染していますか?
ファイアウォールで拒否する前は、インターネット上の IP アドレスに送信されていました。syslog では次のようになります。
2010 年 6 月 1 日 4:50:36 106023 192.168.50.15 59890 38.250.160.20 445 TCP 送信元内部:192.168.50.15/59890 宛先外部:38.250.160.20/445 をアクセス グループ「OUTSIDE-OUT」によって拒否 [0xb2cd162d, 0x0] 2010 年 6 月 1 日 4:50:36 106023 192.168.50.15 59808 37.216.197.51 445 TCP 送信元内部:192.168.50.15/59808 宛先外部:37.216.197.51/445、アクセスグループ「OUTSIDE-OUT」による [0xb2cd162d, 0x0] 2010 年 6 月 1 日 4 日 7:50:36 106023 192.168.50.15 59853 158.105.129.67 445 TCP 送信元を拒否、内部:192.168.50.15/59853、宛先外部:158.105.129.67/445、アクセスグループ「OUTSIDE-OUT」による [0xb2cd162d, 0x0] 2010 年 6 月 1 日 4 日 7:50:36 106023 192.168.50.15 59811 69.158.49.125 445 アクセスグループ「OUTSIDE-OUT」により、TCP 送信元内部:192.168.50.15/59811 送信先外部:69.158.49.125/445 を拒否 [0xb2cd162d, 0x0]
宇宙に感謝します。
答え1
そうです。それはウイルスでした。