도메인 컨트롤러로 실행되는 Windows Server 2008 상자가 있습니다. Cisco ASA 방화벽 로그에서 이 상자가 TCP 포트 445에서 외부 호스트로 지속적으로 요청(예: 초당 1,000개 요청)을 보내고 있음을 확인했습니다. 나는 이 아웃바운드 트래픽이 ASA를 사용하여 인터넷에 연결되는 것을 거부하려고 노력했지만 이러한 요청이 전혀 발생하지 않기를 바랍니다. NetBIOS를 통해 TCP/IP를 비활성화해 보았습니다. 아웃바운드 445를 차단하기 위해 상자 자체에서 Windows 고급 방화벽을 켜기도 했지만 ASA는 여전히 이 특정 트래픽에 도달하는 것을 감지합니다. 이 상자와 같은 방식으로 작동하지 않는 다른 DC 및 유사한 유형의 상자가 있습니다.
이게 정상인가요? 스팸메일을 막을 수 있는 방법이 있나요? 내가 감염됐나요?
방화벽에서 거부하기 전에는 인터넷의 IP 주소로 전송 중이었습니다. syslog에서는 다음과 같습니다.
4 Jun 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 거부 tcp src inside:192.168.50.15/59890 dst external:38.250.160.20/445 by access-group "OUTSIDE -OUT" [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 tcp src 내부 거부:192.168.50.15/59808 dst 외부:37.216.197.51/445 by access-group "OUTSIDE -OUT" [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 거부 tcp src 내부:192.168.50.15/59853 dst 외부:158.105.129.67/445 by access-group "OUT 사이드아웃" [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 tcp src 내부 거부:192.168.50.15/59811 dst 외부:69.158.49.125/445 by access-group "OUTSIDE -OUT" [0xb2cd162d, 0x0]
고마워요 우주님.
답변1
케이. 그것은 바이러스였습니다.