Eu tenho uma caixa do Windows Server 2008 em execução como controlador de domínio. Percebi em meus logs de firewall Cisco ASA que esta caixa está enviando continuamente (como mil solicitações por segundo) solicitações na porta TCP 445 para hosts externos. Fiz um esforço para impedir que esse tráfego de saída entrasse na Internet (usando o ASA), mas gostaria que essas solicitações parassem de ocorrer. Tentei desabilitar o TCP/IP pelo NetBIOS. Eu até ativei o Firewall Avançado do Windows na própria caixa para bloquear a saída 445, mas o ASA ainda detecta esse tráfego específico que o atinge. Eu tenho outros DCs e caixas de tipo semelhante que não estão se comportando da mesma maneira que esta caixa.
Isso é normal? Existe uma maneira de impedir esse spam? Eu fui infectado?
Antes eu negava no meu firewall ele estava enviando para endereços IP na internet. No syslog parece:
4 de junho de 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Negar tcp src dentro: 192.168.50.15/59890 dst fora: 38.250.160.20/445 pelo grupo de acesso "FORA -SAÍDA" [0xb2cd162d, 0x0] 4 de junho de 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Negar tcp src dentro: 192.168.50.15/59808 dst fora: 37.216.197.51/445 pelo grupo de acesso "FORA -SAÍDA" [0xb2cd162d, 0x0] 4 de junho de 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Negar tcp src dentro: 192.168.50.15/59853 dst fora: 158.105.129.67/445 por grupo de acesso "OUT LADO PARA FORA" [0xb2cd162d, 0x0] 4 de junho de 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Negar tcp src dentro: 192.168.50.15/59811 dst fora: 69.158.49.125/445 pelo grupo de acesso "FORA -SAÍDA" [0xb2cd162d, 0x0]
Obrigado universo.
Responder1
k. era um vírus.