我有一個 Windows Server 2008 機器作為網域控制站運作。我在 Cisco ASA 防火牆日誌中註意到,該盒子會不斷在 TCP 連接埠 445 上向外部主機發送(例如每秒一千個請求)請求。我已盡力拒絕此出站流量進入互聯網(使用 ASA),但是我希望這些請求根本停止發生。我嘗試透過 NetBIOS 停用 TCP/IP。我甚至在盒子本身上打開了 Windows 高級防火牆來阻止出站 445,但 ASA 仍然檢測到此特定流量命中它。我有其他 DC 和類似類型的盒子,它們的行為與此盒子不同。
這是正常的嗎?有沒有辦法阻止這種垃圾郵件?我被感染了嗎?
在我在防火牆上拒絕它發送到互聯網上的 IP 位址之前。在系統日誌中,它看起來像:
2010 年6 月1 日07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 透過訪問群組「OUTS 拒絕tcp src inside:192.168.50.15/589.50505050005 IDE-輸出”[0xb2cd162d, 0x0] 2010 年6 月1 日07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 透過訪問群組「OUTS 拒絕tcp src inside:192.1685985. /445 IDE-輸出”[ 0xb2cd162d,0x0] 2010年6月1日07:50:36 106023 192.168.50.15 59853 158.105.129.67 445透過存取群組拒絕外部內部:19285150. 9.67/445外-外”[ 0xb2cd162d,0x0] 2010 年6 月1 日07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 透過存取群組「OUTS. 158.49.125/445 IDE-輸出”[0xb2cd162d,0x0]
謝謝宇宙。
答案1
k.這是一種病毒。