У меня есть Windows Server 2008, работающий как контроллер домена. Я заметил в журналах брандмауэра Cisco ASA, что этот блок постоянно отправляет (около тысячи запросов в секунду) запросы на порт TCP 445 на внешние хосты. Я предпринял попытку запретить этому исходящему трафику попадать в Интернет (используя ASA), однако я хотел бы, чтобы эти запросы вообще не появлялись. Я пробовал отключить TCP/IP через NetBIOS. Я даже включил Windows Advanced Firewall на самом блоке, чтобы заблокировать исходящий 445, но ASA все равно обнаруживает этот конкретный трафик, поступающий на него. У меня есть другие контроллеры домена и блоки подобного типа, которые ведут себя не так, как этот блок.
Это нормально? Есть ли способ остановить этот спам? Я заражен?
До того, как я запретил на своем брандмауэре, он отправлял на IP-адреса в интернете. В syslog это выглядит так:
4 июня 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Запретить tcp src внутри:192.168.50.15/59890 dst снаружи:38.250.160.20/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Запретить tcp src внутри:192.168.50.15/59808 dst снаружи:37.216.197.51/445 по группе доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 01 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Запретить tcp src внутри:192.168.50.15/59853 dst снаружи:158.105.129.67/445 по группе доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0] 4 июня 01 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Запретить tcp src внутри:192.168.50.15/59811 dst снаружи:69.158.49.125/445 группой доступа "OUTSIDE-OUT" [0xb2cd162d, 0x0]
Спасибо, Вселенная.
решение1
к. это был вирус.