k. foi um vírus.
Eu tenho uma caixa do Windows Server 2008 em execução como um controlador de domínio. Tenho notado em meus logs de firewall do Cisco ASA que esta caixa está enviando continuamente (como milhares de solicitações por segundo) solicitações na porta TCP 445 para hosts externos. Fiz um esforço para impedir que esse tráfego de saída entrasse na Internet (usando o ASA), no entanto, gostaria que essas solicitações parassem de ocorrer. Eu tentei desativar o TCP / IP em NetBIOS. Eu até ativei o Firewall Avançado do Windows na própria caixa para bloquear o 445 de saída, mas o ASA ainda detecta esse tráfego específico atingindo-o. Tenho outros DC e caixas de tipo semelhantes que não estão se comportando da mesma maneira que esta caixa.
Isso é normal? Existe uma maneira de parar este spam? Eu fui infectado?
Antes eu neguei no meu firewall que ele está enviando para endereços IP na internet. No syslog parece que:
4 Jun 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Deny tcp src dentro: 192.168.50.15/59890 dst fora: 38.250.160.20/445 pelo grupo de acesso "OUTSIDE-OUT" [0xb2cd162d 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Deny tcp src dentro de: 192.168.50.15/59808 dst externo: 37.216.197.51/445 por grupo de acesso "FORA DE SAÍDA" [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Deny tcp src dentro: 192.168.50.15/59853 dst fora: 158.105.129.67/445 por grupo de acesso "FORA-FORA" [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Deny tcp src dentro: 192.168.50.15/59811 dst fora: 69.158.49.125/445 pelo grupo de acesso "FORA-FORA" [0xb2cd162d, 0x0]
Obrigado universo.
k. foi um vírus.