Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Сканирование портов из внутренней сети (http://forum.oszone.net/showthread.php?t=72494)

Strannik06 06-10-2006 11:10 494187
Сканирование портов из внутренней сети
 
Всем привет!
У меня в сети с некоторых пор начало происходить нечто странное.
Итак по порядку. Есть сеть с доменом. Контроллер домена на Windows 2000 Server SP4. Выход в интернет через шлюз на котором стоит Winroute 6.1.4 , так вот иногда , примерно раз в неделю в разное время дня , по разным дням недели (закономерность не устанавливается) Winroute фиксирует сканирование портов UDP с контроллера домена (т.е. из внутренней сети). В сети развернут Symantec CE 10 - все чисто.
Вот например порты которые недавно сканировались
4464, 4467, 4473, 4476, 4488, 4491, 4494, 4503, 4512, 4515, ...
а вот неделю назад
2078, 2084, 2090, 2107, 2109, 2115, 2118, 2132, 2135, 138, ...
а вот ещё
3081, 3082, 3083, 3084, 3085, 3086, 3087, 3088, 3089, 3090, ...
Подскажите , что такое происходит и как установить процесс , который занимается сканированием портов.
Заранее спасибо!

Butunin Klim 06-10-2006 16:21 494377
Вероятнее всего ищут открытый порт.
Для чего вообще сканируют эти порты? Я отвечу эти порты обычно используют трояны и програмы типа backdoor (по русски задняя дверь :) или черный ход как тебе угоднее). Вероятнее всего атакующий прослушивает порты на которые настроен тот илли иной тороян или программа для взлома сервера.
Просканируй сам порты и посмотри что открыто закрой их и забудь про сканы. Если так уж хочется поймать этого юнного хакера отследи логи с какого ip сканили. Зайди на этот ip и проверь систему на наличие програм и ключей в реестре проверь аудит он тебе наверняка подскажит кто это делал. Дальше дело техники. Взять биту и ждать этого хакера за углом, надовать по голове и сказать что коль хочет еще раз то пускай сканит

Strannik06 06-10-2006 17:57 494418
Butunin Klim
Так сканят меня изнутри локальной сети с моего контроллера домена куда кроме меня никто не лазает

xoxmodav 09-10-2006 09:17 495278
Strannik06

Проверь свой контроллер - нет ли там чего лишнего? Смени свой пароль, проверь группу администраторов домена и предприятия на предмет появления новых учётных записей, проверь активные соединения - какие программы их используют.

Micrus 10-10-2006 11:42 495734
тебе помогут утилитки TcpView, RootkitRevealer от sysinternals.com и Network Monitor tools от MS

как ты определил что именно от контролера домена по IP или по MAC

Butunin Klim 10-10-2006 12:42 495746
А какая разница?
При смене ip домен бы не работал
При смене МАС такая же проблема была бы.

Micrus 10-10-2006 13:02 495751
Butunin Klim

IP-адрес можно подменить

Butunin Klim 10-10-2006 13:42 495763
Micrus
ip можно конечно, и МАС можно подменить. Причем Мас быстрее меняется чем ip.
При смене ip адреса. не чего бы не получилось так как система бы ругнуласть что ip используется...


Время: 08:56.

Время: 08:56.
© OSzone.net 2001-