информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Шестой Perl превратится в Raku,... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[Win2000] Пропадают сетевые соединения / все сайты открываются в зоне "надёжные узлы" 09.12.04 15:50  
Автор: cxell Статус: Незарегистрированный пользователь
Отредактировано 09.12.04 15:53  Количество правок: 1
<"чистая" ссылка>
Система: Win2000 Server

Предыстория: пользователь залез под админом в интернет (файрволла и антивируса нет по той причине, что никто не предполагал, что пользователь будет с модемом :) ), накачал/наставил троянов, всё рухнуло, сервер привезли мне восстанавливать, я троянов половил, да, видать, не всех (проверял DrWebом, Касперским, AD-Aware, Stingerом, SpyBootом (всё - с последними обновлениями), а также спецутилитами с сайта Касперского: KlAntiFL, AntiNimd, clrav, klwk).

Симптомы:
1) после установки модемного соединения появляется огромное количество открытых портов (список см. ниже).
2) через некоторое время исчезают все соединения из папки подключений ("Сеть и удалённый доступ к сети"). И dialup-подключений, и локальных сеток. Значок в трее остаётся, но на мышь никак не реагирует, т.е. отрубиться от сети можно, только выключив модем или вынув телефонный кабель. После перелогинивания под другим пользователем или под тем же самым - иконок для соединений по-прежнему нет. После перезагрузки - иконки появлятся.
3) при открытии любого сайта в IE (IE 6.0 без сервис-паков) IE показывает, что сайт в зоне "надёжные узлы".

Где копать?

Приложение 1:
ipconfig /all
=============
Настройка протокола IP для Windows 2000
    Имя компьютера  . . . . . . . . . : boss1
    Основной DNS суффикс  . . . . . . : volga.local
    Тип узла  . . . . . . . . . . . . : Широковещательный
    Включена IP-маршрутизация . . . . : Нет
    Доверенный WINS-сервер  . . . . . : Нет
    Порядок просмотра суффиксов DNS . : volga.local

Адаптер Ethernet Lan 1:
    Состояние устройства  . . . . . . : отсоединен кабель
    Описание  . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
    Физический адрес. . . . . . . . . : 00-02-B3-51-22-DE

Адаптер MTS:
    DNS суффикс этого подключения . . : 
    Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Физический адрес. . . . . . . . . : 00-53-45-00-00-00
    DHCP разрешен . . . . . . . . . . : Нет
    IP-адрес  . . . . . . . . . . . . : 213.177.101.153
    Маска подсети . . . . . . . . . . : 255.255.255.255
    Основной шлюз . . . . . . . . . . : 213.177.101.153
    DNS-серверы . . . . . . . . . . . : 213.177.96.1  213.177.97.1
    NetBIOS через TCP/IP. . . . . . . : отключено

---


Приложение 2:
netstat -a
==================
Активные подключения
  Имя    Локальный адрес        Внешний адрес          Состояние
  TCP    boss1:domain           boss1.volga.local:0    LISTENING
  TCP    boss1:kerberos         boss1.volga.local:0    LISTENING
  TCP    boss1:epmap            boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:0    LISTENING
  TCP    boss1:https            boss1.volga.local:0    LISTENING
  TCP    boss1:microsoft-ds     boss1.volga.local:0    LISTENING
  TCP    boss1:kpasswd          boss1.volga.local:0    LISTENING
  TCP    boss1:593              boss1.volga.local:0    LISTENING
  TCP    boss1:ldaps            boss1.volga.local:0    LISTENING
  TCP    boss1:1026             boss1.volga.local:0    LISTENING
  TCP    boss1:1029             boss1.volga.local:0    LISTENING
  TCP    boss1:1067             boss1.volga.local:0    LISTENING
  TCP    boss1:1069             boss1.volga.local:0    LISTENING
  TCP    boss1:1071             boss1.volga.local:0    LISTENING
  TCP    boss1:1081             boss1.volga.local:0    LISTENING
  TCP    boss1:1082             boss1.volga.local:0    LISTENING
  TCP    boss1:1084             boss1.volga.local:0    LISTENING
  TCP    boss1:1088             boss1.volga.local:0    LISTENING
  TCP    boss1:1089             boss1.volga.local:0    LISTENING
  TCP    boss1:1091             boss1.volga.local:0    LISTENING
  TCP    boss1:1095             boss1.volga.local:0    LISTENING
  TCP    boss1:1097             boss1.volga.local:0    LISTENING
  TCP    boss1:1099             boss1.volga.local:0    LISTENING
  TCP    boss1:1111             boss1.volga.local:0    LISTENING
  TCP    boss1:1113             boss1.volga.local:0    LISTENING
  TCP    boss1:1117             boss1.volga.local:0    LISTENING
  TCP    boss1:1125             boss1.volga.local:0    LISTENING
  TCP    boss1:1190             boss1.volga.local:0    LISTENING
  TCP    boss1:1445             boss1.volga.local:0    LISTENING
  TCP    boss1:1447             boss1.volga.local:0    LISTENING
  TCP    boss1:3268             boss1.volga.local:0    LISTENING
  TCP    boss1:3269             boss1.volga.local:0    LISTENING
  TCP    boss1:3372             boss1.volga.local:0    LISTENING
  TCP    boss1:3389             boss1.volga.local:0    LISTENING
  TCP    boss1:http             boss1.volga.local:0    LISTENING
  TCP    boss1:netbios-ssn      boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:1097  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1443  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1444  TIME_WAIT
  TCP    boss1:microsoft-ds     boss1.volga.local:1445  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1099  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1190  ESTABLISHED
  TCP    boss1:1071             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1097             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1099             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1190             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1195             boss1.volga.local:microsoft-ds  TIME_WAIT
  TCP    boss1:1241             boss1.volga.local:epmap  TIME_WAIT
  TCP    boss1:1242             boss1.volga.local:1026  TIME_WAIT
  TCP    boss1:1249             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1259             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1279             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1304             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1319             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1331             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1337             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1348             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1356             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1368             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1376             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1390             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1396             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1445             boss1.volga.local:microsoft-ds  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1088  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1251  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1263  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1282  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1306  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1312  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1321  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1333  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1341  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1350  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1358  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1370  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1378  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1392  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1398  TIME_WAIT
  TCP    boss1:1069             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1088             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1447             ns.mts-nn.ru:domain    SYN_SENT
  UDP    boss1:bootpc          :                   
  UDP    boss1:epmap           :                   
  UDP    boss1:microsoft-ds    :                   
  UDP    boss1:1028            :                   
  UDP    boss1:1056            :                   
  UDP    boss1:1068            :                   
  UDP    boss1:1070            :                   
  UDP    boss1:1077            :                   
  UDP    boss1:1080            :                   
  UDP    boss1:1086            :                   
  UDP    boss1:1087            :                   
  UDP    boss1:1096            :                   
  UDP    boss1:1112            :                   
  UDP    boss1:1114            :                   
  UDP    boss1:1118            :                   
  UDP    boss1:1191            :                   
  UDP    boss1:3456            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:bootps          :                   
  UDP    boss1:bootpc          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:ntp             :                   
  UDP    boss1:netbios-ns      :                   
  UDP    boss1:netbios-dgm     :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :                   
  UDP    boss1:1119            :                   
  UDP    boss1:2535            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:1085            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :                   

---


Приложение 3:
Cписок процессов
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
termsrv.exe
svchost.exe
spoolsv.exe
msdtc.exe
Dfssvc.exe
tcpsvcs.exe
svchost.exe
llssrv.exe
NMSSvc.exe
ntfrs.exe
locator.exe
MSTask.exe
win32sl.exe
WinMgmt.exe
dns.exe
inetinfo.exe
mssearch.exe
basebrd.exe
iomgr.exe
ni_nic.exe
ipsa.exe
lra.exe
lra.exe
sha.exe
ciodmi.exe

---
Что-то мне это процессы не нравятся. Провет что они, откуда... 10.12.04 05:32  
Автор: vitaliy_m Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Приложение 3:
> Cписок процессов
> NMSSvc.exe
> ntfrs.exe
> win32sl.exe
> basebrd.exe
> ni_nic.exe
> ipsa.exe
> lra.exe
> lra.exe
> sha.exe
> ciodmi.exe
> iomgr.exe
Что-то мне это процессы не нравятся. Провет что они, откуда пускаются, найди файлы
посмотри версию, посмотри вювером на подозрительные места (строки текста).
Перезагрузись в Safe моде и прибей, включая там, откуда пускаются.

> locator.exe
А накой RPC Locator? У меня без него работает.

> dns.exe
Если демен есть, то оставь...

> inetinfo.exe
А IIS что крутит?

> mssearch.exe
Всякие поиски на сервере не нужны - выключи
ntfrs.exe - служба репликации файлов, всё остальное -... 14.12.04 14:48  
Автор: cxell Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > NMSSvc.exe
> > ntfrs.exe
> > win32sl.exe
> > basebrd.exe
> > ni_nic.exe
> > ipsa.exe
> > lra.exe
> > lra.exe
> > sha.exe
> > ciodmi.exe
> > iomgr.exe
> Что-то мне это процессы не нравятся. Провет что они, откуда
> пускаются, найди файлы
> посмотри версию, посмотри вювером на подозрительные места
> (строки текста).

ntfrs.exe - служба репликации файлов, всё остальное - драйвера и прочие приблуды, шедшие в комплекте с сервером. Сравнил с драйверами в архиве - всё совпадает.


> > locator.exe
> А накой RPC Locator? У меня без него работает.
Остановил.

> > dns.exe
> Если демен есть, то оставь...
Домен есть. Оставил.

> > inetinfo.exe
> А IIS что крутит?
Вроде ничего. Все настройки были по умолчанию. Остановил и снёс IIS, в журнале системных событий каждые 5 минут стало появляться сообщение об ошибке 0x534. Исправил по совету Liz вот отсюда:
http://www.eventid.net/display.asp?eventid=1202&eventno=348&source=SceCli&phase=1
(после сноса IIS надо вручную удалить записи о пользователях IWAM и IUSR из политик безопасности контроллера домена)

> > mssearch.exe
> Всякие поиски на сервере не нужны - выключи
Это SQL Server запускает. Но так как в другом месте на аналогичном сервере всё работает и без mssearch - остановил.


Результат - нулевой. Наверное, будет быстрее всё переустановить...


1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach