Ich habe eine Windows Server 2008-Box, die als Domänencontroller läuft. In meinen Cisco ASA-Firewall-Protokollen habe ich festgestellt, dass diese Box kontinuierlich Anfragen (etwa tausend Anfragen pro Sekunde) über TCP-Port 445 an externe Hosts sendet. Ich habe versucht, diesen ausgehenden Datenverkehr (mithilfe der ASA) vom Internet fernzuhalten, möchte jedoch, dass diese Anfragen überhaupt nicht mehr auftreten. Ich habe versucht, TCP/IP über NetBIOS zu deaktivieren. Ich habe sogar die erweiterte Windows-Firewall auf der Box selbst aktiviert, um ausgehenden 445-Datenverkehr zu blockieren, aber die ASA erkennt diesen speziellen Datenverkehr immer noch. Ich habe andere DCs und ähnliche Boxen, die sich anders verhalten als diese Box.
Ist das normal? Gibt es eine Möglichkeit, dieses Spamming zu stoppen? Bin ich infiziert?
Bevor ich es auf meiner Firewall abgelehnt habe, sendet es an IP-Adressen im Internet. Im Syslog sieht es so aus:
4. Juni 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Verweigerung von TCP-Quelle innerhalb: 192.168.50.15/59890 Ziel außerhalb: 38.250.160.20/445 durch Zugriffsgruppe „OUTSIDE-OUT“ [0xb2cd162d, 0x0] 4. Juni 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Verweigerung von TCP-Quelle innerhalb: 192.168.50.15/59808 Ziel außerhalb: 37.216.197.51/445 von Zugriffsgruppe "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4. Juni 01 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 TCP-Quelle verweigern innerhalb: 192.168.50.15/59853 Ziel außerhalb: 158.105.129.67/445 von Zugriffsgruppe "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4. Juni 01 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 TCP-Quelle innerhalb von: 192.168.50.15/59811 Ziel außerhalb von: 69.158.49.125/445 durch Zugriffsgruppe „OUTSIDE-OUT“ verweigern [0xb2cd162d, 0x0]
Danke, Universum.
Antwort1
k. es war ein Virus.