Сканирование портов из внутренней сети
Всем привет!
У меня в сети с некоторых пор начало происходить нечто странное. Итак по порядку. Есть сеть с доменом. Контроллер домена на Windows 2000 Server SP4. Выход в интернет через шлюз на котором стоит Winroute 6.1.4 , так вот иногда , примерно раз в неделю в разное время дня , по разным дням недели (закономерность не устанавливается) Winroute фиксирует сканирование портов UDP с контроллера домена (т.е. из внутренней сети). В сети развернут Symantec CE 10 - все чисто. Вот например порты которые недавно сканировались 4464, 4467, 4473, 4476, 4488, 4491, 4494, 4503, 4512, 4515, ... а вот неделю назад 2078, 2084, 2090, 2107, 2109, 2115, 2118, 2132, 2135, 138, ... а вот ещё 3081, 3082, 3083, 3084, 3085, 3086, 3087, 3088, 3089, 3090, ... Подскажите , что такое происходит и как установить процесс , который занимается сканированием портов. Заранее спасибо! |
Вероятнее всего ищут открытый порт.
Для чего вообще сканируют эти порты? Я отвечу эти порты обычно используют трояны и програмы типа backdoor (по русски задняя дверь :) или черный ход как тебе угоднее). Вероятнее всего атакующий прослушивает порты на которые настроен тот илли иной тороян или программа для взлома сервера. Просканируй сам порты и посмотри что открыто закрой их и забудь про сканы. Если так уж хочется поймать этого юнного хакера отследи логи с какого ip сканили. Зайди на этот ip и проверь систему на наличие програм и ключей в реестре проверь аудит он тебе наверняка подскажит кто это делал. Дальше дело техники. Взять биту и ждать этого хакера за углом, надовать по голове и сказать что коль хочет еще раз то пускай сканит |
Butunin Klim
Так сканят меня изнутри локальной сети с моего контроллера домена куда кроме меня никто не лазает |
Strannik06
Проверь свой контроллер - нет ли там чего лишнего? Смени свой пароль, проверь группу администраторов домена и предприятия на предмет появления новых учётных записей, проверь активные соединения - какие программы их используют. |
тебе помогут утилитки TcpView, RootkitRevealer от sysinternals.com и Network Monitor tools от MS
как ты определил что именно от контролера домена по IP или по MAC |
А какая разница?
При смене ip домен бы не работал При смене МАС такая же проблема была бы. |
Butunin Klim
IP-адрес можно подменить |
Micrus
ip можно конечно, и МАС можно подменить. Причем Мас быстрее меняется чем ip. При смене ip адреса. не чего бы не получилось так как система бы ругнуласть что ip используется... |
Время: 10:39. |
Время: 10:39.
© OSzone.net 2001-