информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsСетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Oracle выпустила срочный патч для... 
 Атака на WPA2 
 Outlook полгода отправлял зашифрованные... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[Win2000] Пропадают сетевые соединения / все сайты открываются в зоне "надёжные узлы" 09.12.04 15:50  Число просмотров: 3363
Автор: cxell Статус: Незарегистрированный пользователь
Отредактировано 09.12.04 15:53  Количество правок: 1
<"чистая" ссылка>
Система: Win2000 Server

Предыстория: пользователь залез под админом в интернет (файрволла и антивируса нет по той причине, что никто не предполагал, что пользователь будет с модемом :) ), накачал/наставил троянов, всё рухнуло, сервер привезли мне восстанавливать, я троянов половил, да, видать, не всех (проверял DrWebом, Касперским, AD-Aware, Stingerом, SpyBootом (всё - с последними обновлениями), а также спецутилитами с сайта Касперского: KlAntiFL, AntiNimd, clrav, klwk).

Симптомы:
1) после установки модемного соединения появляется огромное количество открытых портов (список см. ниже).
2) через некоторое время исчезают все соединения из папки подключений ("Сеть и удалённый доступ к сети"). И dialup-подключений, и локальных сеток. Значок в трее остаётся, но на мышь никак не реагирует, т.е. отрубиться от сети можно, только выключив модем или вынув телефонный кабель. После перелогинивания под другим пользователем или под тем же самым - иконок для соединений по-прежнему нет. После перезагрузки - иконки появлятся.
3) при открытии любого сайта в IE (IE 6.0 без сервис-паков) IE показывает, что сайт в зоне "надёжные узлы".

Где копать?

Приложение 1:
ipconfig /all
=============
Настройка протокола IP для Windows 2000
    Имя компьютера  . . . . . . . . . : boss1
    Основной DNS суффикс  . . . . . . : volga.local
    Тип узла  . . . . . . . . . . . . : Широковещательный
    Включена IP-маршрутизация . . . . : Нет
    Доверенный WINS-сервер  . . . . . : Нет
    Порядок просмотра суффиксов DNS . : volga.local

Адаптер Ethernet Lan 1:
    Состояние устройства  . . . . . . : отсоединен кабель
    Описание  . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
    Физический адрес. . . . . . . . . : 00-02-B3-51-22-DE

Адаптер MTS:
    DNS суффикс этого подключения . . : 
    Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Физический адрес. . . . . . . . . : 00-53-45-00-00-00
    DHCP разрешен . . . . . . . . . . : Нет
    IP-адрес  . . . . . . . . . . . . : 213.177.101.153
    Маска подсети . . . . . . . . . . : 255.255.255.255
    Основной шлюз . . . . . . . . . . : 213.177.101.153
    DNS-серверы . . . . . . . . . . . : 213.177.96.1  213.177.97.1
    NetBIOS через TCP/IP. . . . . . . : отключено

---


Приложение 2:
netstat -a
==================
Активные подключения
  Имя    Локальный адрес        Внешний адрес          Состояние
  TCP    boss1:domain           boss1.volga.local:0    LISTENING
  TCP    boss1:kerberos         boss1.volga.local:0    LISTENING
  TCP    boss1:epmap            boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:0    LISTENING
  TCP    boss1:https            boss1.volga.local:0    LISTENING
  TCP    boss1:microsoft-ds     boss1.volga.local:0    LISTENING
  TCP    boss1:kpasswd          boss1.volga.local:0    LISTENING
  TCP    boss1:593              boss1.volga.local:0    LISTENING
  TCP    boss1:ldaps            boss1.volga.local:0    LISTENING
  TCP    boss1:1026             boss1.volga.local:0    LISTENING
  TCP    boss1:1029             boss1.volga.local:0    LISTENING
  TCP    boss1:1067             boss1.volga.local:0    LISTENING
  TCP    boss1:1069             boss1.volga.local:0    LISTENING
  TCP    boss1:1071             boss1.volga.local:0    LISTENING
  TCP    boss1:1081             boss1.volga.local:0    LISTENING
  TCP    boss1:1082             boss1.volga.local:0    LISTENING
  TCP    boss1:1084             boss1.volga.local:0    LISTENING
  TCP    boss1:1088             boss1.volga.local:0    LISTENING
  TCP    boss1:1089             boss1.volga.local:0    LISTENING
  TCP    boss1:1091             boss1.volga.local:0    LISTENING
  TCP    boss1:1095             boss1.volga.local:0    LISTENING
  TCP    boss1:1097             boss1.volga.local:0    LISTENING
  TCP    boss1:1099             boss1.volga.local:0    LISTENING
  TCP    boss1:1111             boss1.volga.local:0    LISTENING
  TCP    boss1:1113             boss1.volga.local:0    LISTENING
  TCP    boss1:1117             boss1.volga.local:0    LISTENING
  TCP    boss1:1125             boss1.volga.local:0    LISTENING
  TCP    boss1:1190             boss1.volga.local:0    LISTENING
  TCP    boss1:1445             boss1.volga.local:0    LISTENING
  TCP    boss1:1447             boss1.volga.local:0    LISTENING
  TCP    boss1:3268             boss1.volga.local:0    LISTENING
  TCP    boss1:3269             boss1.volga.local:0    LISTENING
  TCP    boss1:3372             boss1.volga.local:0    LISTENING
  TCP    boss1:3389             boss1.volga.local:0    LISTENING
  TCP    boss1:http             boss1.volga.local:0    LISTENING
  TCP    boss1:netbios-ssn      boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:1097  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1443  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1444  TIME_WAIT
  TCP    boss1:microsoft-ds     boss1.volga.local:1445  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1099  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1190  ESTABLISHED
  TCP    boss1:1071             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1097             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1099             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1190             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1195             boss1.volga.local:microsoft-ds  TIME_WAIT
  TCP    boss1:1241             boss1.volga.local:epmap  TIME_WAIT
  TCP    boss1:1242             boss1.volga.local:1026  TIME_WAIT
  TCP    boss1:1249             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1259             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1279             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1304             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1319             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1331             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1337             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1348             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1356             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1368             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1376             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1390             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1396             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1445             boss1.volga.local:microsoft-ds  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1088  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1251  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1263  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1282  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1306  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1312  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1321  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1333  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1341  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1350  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1358  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1370  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1378  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1392  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1398  TIME_WAIT
  TCP    boss1:1069             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1088             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1447             ns.mts-nn.ru:domain    SYN_SENT
  UDP    boss1:bootpc          :                   
  UDP    boss1:epmap           :                   
  UDP    boss1:microsoft-ds    :                   
  UDP    boss1:1028            :                   
  UDP    boss1:1056            :                   
  UDP    boss1:1068            :                   
  UDP    boss1:1070            :                   
  UDP    boss1:1077            :                   
  UDP    boss1:1080            :                   
  UDP    boss1:1086            :                   
  UDP    boss1:1087            :                   
  UDP    boss1:1096            :                   
  UDP    boss1:1112            :                   
  UDP    boss1:1114            :                   
  UDP    boss1:1118            :                   
  UDP    boss1:1191            :                   
  UDP    boss1:3456            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:bootps          :                   
  UDP    boss1:bootpc          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:ntp             :                   
  UDP    boss1:netbios-ns      :                   
  UDP    boss1:netbios-dgm     :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :                   
  UDP    boss1:1119            :                   
  UDP    boss1:2535            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:1085            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :                   

---


Приложение 3:
Cписок процессов
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
termsrv.exe
svchost.exe
spoolsv.exe
msdtc.exe
Dfssvc.exe
tcpsvcs.exe
svchost.exe
llssrv.exe
NMSSvc.exe
ntfrs.exe
locator.exe
MSTask.exe
win32sl.exe
WinMgmt.exe
dns.exe
inetinfo.exe
mssearch.exe
basebrd.exe
iomgr.exe
ni_nic.exe
ipsa.exe
lra.exe
lra.exe
sha.exe
ciodmi.exe

---
<networking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2017 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach