Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Сканирование портов из внутренней сети

Ответить
Настройки темы
Сканирование портов из внутренней сети

Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всем привет!
У меня в сети с некоторых пор начало происходить нечто странное.
Итак по порядку. Есть сеть с доменом. Контроллер домена на Windows 2000 Server SP4. Выход в интернет через шлюз на котором стоит Winroute 6.1.4 , так вот иногда , примерно раз в неделю в разное время дня , по разным дням недели (закономерность не устанавливается) Winroute фиксирует сканирование портов UDP с контроллера домена (т.е. из внутренней сети). В сети развернут Symantec CE 10 - все чисто.
Вот например порты которые недавно сканировались
4464, 4467, 4473, 4476, 4488, 4491, 4494, 4503, 4512, 4515, ...
а вот неделю назад
2078, 2084, 2090, 2107, 2109, 2115, 2118, 2132, 2135, 138, ...
а вот ещё
3081, 3082, 3083, 3084, 3085, 3086, 3087, 3088, 3089, 3090, ...
Подскажите , что такое происходит и как установить процесс , который занимается сканированием портов.
Заранее спасибо!

Отправлено: 11:10, 06-10-2006

 

Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Вероятнее всего ищут открытый порт.
Для чего вообще сканируют эти порты? Я отвечу эти порты обычно используют трояны и програмы типа backdoor (по русски задняя дверь или черный ход как тебе угоднее). Вероятнее всего атакующий прослушивает порты на которые настроен тот илли иной тороян или программа для взлома сервера.
Просканируй сам порты и посмотри что открыто закрой их и забудь про сканы. Если так уж хочется поймать этого юнного хакера отследи логи с какого ip сканили. Зайди на этот ip и проверь систему на наличие програм и ключей в реестре проверь аудит он тебе наверняка подскажит кто это делал. Дальше дело техники. Взять биту и ждать этого хакера за углом, надовать по голове и сказать что коль хочет еще раз то пускай сканит

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 16:21, 06-10-2006 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать


Butunin Klim
Так сканят меня изнутри локальной сети с моего контроллера домена куда кроме меня никто не лазает

Отправлено: 17:57, 06-10-2006 | #3


Аватара для xoxmodav

PainStaking


Moderator


Сообщения: 3992
Благодарности: 442

Профиль | Отправить PM | Цитировать


Strannik06

Проверь свой контроллер - нет ли там чего лишнего? Смени свой пароль, проверь группу администраторов домена и предприятия на предмет появления новых учётных записей, проверь активные соединения - какие программы их используют.

-------
RadioActive - and therefore harmful, cynical and the extremely dangerous.


Отправлено: 09:17, 09-10-2006 | #4


Пользователь


Сообщения: 54
Благодарности: 2

Профиль | Отправить PM | Цитировать


тебе помогут утилитки TcpView, RootkitRevealer от sysinternals.com и Network Monitor tools от MS

как ты определил что именно от контролера домена по IP или по MAC

-------
Если сообщение помогло, НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ


Отправлено: 11:42, 10-10-2006 | #5


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


А какая разница?
При смене ip домен бы не работал
При смене МАС такая же проблема была бы.

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 12:42, 10-10-2006 | #6


Пользователь


Сообщения: 54
Благодарности: 2

Профиль | Отправить PM | Цитировать


Butunin Klim

IP-адрес можно подменить

-------
Если сообщение помогло, НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ


Отправлено: 13:02, 10-10-2006 | #7


Аватара для Butunin Klim

Ветеран


Сообщения: 1482
Благодарности: 117

Профиль | Отправить PM | Цитировать


Micrus
ip можно конечно, и МАС можно подменить. Причем Мас быстрее меняется чем ip.
При смене ip адреса. не чего бы не получилось так как система бы ругнуласть что ip используется...

-------
Сообщение помогло? В знак благодарности НАЖМИТЕ ПОЛЕЗНОЕ СООБЩЕНИЕ

Мы зрим не то, что есть вокруг,
А то, что можем видеть зримо.
А то, что зреть не достижимо
Нам не узреть во век веков.

Мой веб-магазин товары Amway http://butunina.ru


Отправлено: 13:42, 10-10-2006 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Сканирование портов из внутренней сети

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Сканирование портов rovdy Защита компьютерных систем 48 19-11-2011 20:52
Уязвимости - Этично ли сканирование портов? gattaka Защита компьютерных систем 7 29-11-2009 01:09
Вопрос - [решено] Сканирование портов Sermion Защита компьютерных систем 4 22-04-2009 16:57
сканирование портов linux nix_lamer Общий по Linux 4 18-02-2007 14:07
FAQ | Сканирование портов antiroot Защита компьютерных систем 14 28-03-2005 06:53




 
Переход