Tengo una caja de Windows Server 2008 ejecutándose como controlador de dominio. He notado en los registros de mi firewall Cisco ASA que este cuadro envía continuamente (como mil solicitudes por segundo) solicitudes en el puerto TCP 445 a hosts externos. He hecho un esfuerzo para impedir que este tráfico saliente ingrese a Internet (usando el ASA), sin embargo, me gustaría que estas solicitudes dejaran de ocurrir. Intenté deshabilitar TCP/IP a través de NetBIOS. Incluso activé el Firewall avanzado de Windows en la propia caja para bloquear el 445 saliente, pero el ASA todavía detecta este tráfico en particular que llega a él. Tengo otros DC y cajas de tipo similar que no se comportan de la misma manera que esta caja.
¿Esto es normal? ¿Hay alguna manera de detener este spam? ¿Me he infectado?
Antes lo negaba en mi firewall, se estaba enviando a direcciones IP en Internet. En syslog se ve así:
4 01 de junio de 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Denegar tcp src inside:192.168.50.15/59890 dst outside:38.250.160.20/445 por grupo de acceso "FUERA -SALIDA" [0xb2cd162d, 0x0] 4 01 de junio de 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Denegar tcp src inside:192.168.50.15/59808 dst outside:37.216.197.51/445 por grupo de acceso "FUERA -SALIDA" [0xb2cd162d, 0x0] 4 01 de junio de 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Denegar tcp src inside:192.168.50.15/59853 dst outside:158.105.129.67/445 por grupo de acceso "OUT DE LADO FUERA" [0xb2cd162d, 0x0] 4 01 de junio de 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Denegar tcp src inside:192.168.50.15/59811 dst outside:69.158.49.125/445 por grupo de acceso "FUERA -SALIDA" [0xb2cd162d, 0x0]
Gracias universo.
Respuesta1
k. era un virus.