Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Symantec Endpoint Protection: сетевая атака (http://forum.oszone.net/showthread.php?t=272153)

cashmarik 16-11-2013 05:26 2255672
Symantec Endpoint Protection: сетевая атака
 
Вложений: 1
Доброго времени суток.
Проблема началась несколько дней назад на многих рабочих станциях и на всех роутерах, построенных на WS2003, на которых установлен сабж и заключалась в большой загрузке их процессом smc.exe. В журнале трафика постоянно появляются записи о блокировании сетевых угроз. Работа практически парализована нагрузкой и глюками сети, антивирусы ОС, обновляются постоянно. Пробовал сканировать CureIt`ом с загрузочной флешки, ничего не найдено.
Роутеры соединяются между собой через OpenVPN мостом с главным роутером, на каждом стоит трафик инспектор, открыт доступ через RDP
На серверах и рабочих станциях так же иногда появляются сообщения и заносятся записи в журнал безопасности, но она идет с рабочих станций (похоже это отношения к делу не имеет):
Код:
Заблокирована атака: [SID: 23179] OS Attack: MSRPC Server Service RPC CVE-2008-4250.Заблокирован трафик для следующего приложния: SYSTEM
Ребята, прошу помощи.

Rezor666 16-11-2013 08:03 2255686
И что тут не понятного?
Сидит у Вас старая малварка и ищет дырку на компах, но зафиксали ее еще в 2008 году.
Не верите? Можете поиграть с Metasploit и убедиться что получите ту-же CVE.
Или специалисты Symantec наложили не верную сигнатуру на IDS.

Насчет остального узнавайте у Symantec, почему они решили блокировать тот или иной трафик.

cashmarik 16-11-2013 19:36 2256016
Спасибо за информацию, видимо где то стоит очень древнее железо, но это, как я уже сказал это не главное, а главное то, что заставляет драйвер моста генерировать подозрительный трафик. Как все таки узнать что это за пакеты?

Rezor666 16-11-2013 19:40 2256020
cashmarik, С учетом того что это мост то генерировать может любой хост подключенный к нему.

cashmarik 17-11-2013 14:18 2256435
Интересно то, что исходящие пакеты видимо более низкого уровня (см.рисунок), широковещательные что ли? а входящие, которые тоже блокируются идут уже от известных ip по протоколам UDP. Такая картина наблюдается на всех роутерах и на некоторых рабочих станциях, возможно они заражены чем то или это все таки трафик извне? Удалять антивирус тоже ведь не вариант :)

Rezor666 17-11-2013 17:24 2256554
cashmarik, Возьмите wireshark и посмотрите что там у Вас, если подозрительного трафика нету то все нормально.
Главный недостаток продуктов с IDS это то что они не показывают детальную информацию о пакетах.


Время: 09:34.

Время: 09:34.
© OSzone.net 2001-