BugTraq.Ru: форум / networking / [Win2000] Пропадают сетевые соединения / все сайты открываются в зоне "надёжные узлы"

информационная безопасность
без паники и всерьез

подробно о проекте

Анализ криптографических сетевых...

Модель надежности двухузлового...

Специальные марковские модели надежности...

Очередное исследование 19 миллиардов...

Оптимизация ввода-вывода как инструмент...

Зловреды выбирают Lisp и Delphi

bugtraq.ru / форум / networking

Имя

Пароль

если вы видите этот текст, отключите в настройках форума использование JavaScript


ФОРУМ


	все доски
	FAQ
	IRC
	новые сообщения

	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
	software
	hardware
	networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap

регистрация

Легенда:

новое сообщение

закрытая нитка

новое сообщение

в закрытой нитке

старое сообщение

Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
Новичкам также крайне полезно ознакомиться с данным документом.

[Win2000] Пропадают сетевые соединения / все сайты открываются в зоне "надёжные узлы" 09.12.04 15:50
Автор: cxell Статус: Незарегистрированный пользователь
Отредактировано 09.12.04 15:53 Количество правок: 1

<"чистая" ссылка>

Система: Win2000 Server

Предыстория: пользователь залез под админом в интернет (файрволла и антивируса нет по той причине, что никто не предполагал, что пользователь будет с модемом :) ), накачал/наставил троянов, всё рухнуло, сервер привезли мне восстанавливать, я троянов половил, да, видать, не всех (проверял DrWebом, Касперским, AD-Aware, Stingerом, SpyBootом (всё - с последними обновлениями), а также спецутилитами с сайта Касперского: KlAntiFL, AntiNimd, clrav, klwk).

Симптомы:
1) после установки модемного соединения появляется огромное количество открытых портов (список см. ниже).
2) через некоторое время исчезают все соединения из папки подключений ("Сеть и удалённый доступ к сети"). И dialup-подключений, и локальных сеток. Значок в трее остаётся, но на мышь никак не реагирует, т.е. отрубиться от сети можно, только выключив модем или вынув телефонный кабель. После перелогинивания под другим пользователем или под тем же самым - иконок для соединений по-прежнему нет. После перезагрузки - иконки появлятся.
3) при открытии любого сайта в IE (IE 6.0 без сервис-паков) IE показывает, что сайт в зоне "надёжные узлы".

Где копать?

Приложение 1:

ipconfig /all
=============
Настройка протокола IP для Windows 2000
    Имя компьютера  . . . . . . . . . : boss1
    Основной DNS суффикс  . . . . . . : volga.local
    Тип узла  . . . . . . . . . . . . : Широковещательный
    Включена IP-маршрутизация . . . . : Нет
    Доверенный WINS-сервер  . . . . . : Нет
    Порядок просмотра суффиксов DNS . : volga.local

Адаптер Ethernet Lan 1:
    Состояние устройства  . . . . . . : отсоединен кабель
    Описание  . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
    Физический адрес. . . . . . . . . : 00-02-B3-51-22-DE

Адаптер MTS:
    DNS суффикс этого подключения . . : 
    Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Физический адрес. . . . . . . . . : 00-53-45-00-00-00
    DHCP разрешен . . . . . . . . . . : Нет
    IP-адрес  . . . . . . . . . . . . : 213.177.101.153
    Маска подсети . . . . . . . . . . : 255.255.255.255
    Основной шлюз . . . . . . . . . . : 213.177.101.153
    DNS-серверы . . . . . . . . . . . : 213.177.96.1  213.177.97.1
    NetBIOS через TCP/IP. . . . . . . : отключено

---

Приложение 2:

netstat -a
==================
Активные подключения
  Имя    Локальный адрес        Внешний адрес          Состояние
  TCP    boss1:domain           boss1.volga.local:0    LISTENING
  TCP    boss1:kerberos         boss1.volga.local:0    LISTENING
  TCP    boss1:epmap            boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:0    LISTENING
  TCP    boss1:https            boss1.volga.local:0    LISTENING
  TCP    boss1:microsoft-ds     boss1.volga.local:0    LISTENING
  TCP    boss1:kpasswd          boss1.volga.local:0    LISTENING
  TCP    boss1:593              boss1.volga.local:0    LISTENING
  TCP    boss1:ldaps            boss1.volga.local:0    LISTENING
  TCP    boss1:1026             boss1.volga.local:0    LISTENING
  TCP    boss1:1029             boss1.volga.local:0    LISTENING
  TCP    boss1:1067             boss1.volga.local:0    LISTENING
  TCP    boss1:1069             boss1.volga.local:0    LISTENING
  TCP    boss1:1071             boss1.volga.local:0    LISTENING
  TCP    boss1:1081             boss1.volga.local:0    LISTENING
  TCP    boss1:1082             boss1.volga.local:0    LISTENING
  TCP    boss1:1084             boss1.volga.local:0    LISTENING
  TCP    boss1:1088             boss1.volga.local:0    LISTENING
  TCP    boss1:1089             boss1.volga.local:0    LISTENING
  TCP    boss1:1091             boss1.volga.local:0    LISTENING
  TCP    boss1:1095             boss1.volga.local:0    LISTENING
  TCP    boss1:1097             boss1.volga.local:0    LISTENING
  TCP    boss1:1099             boss1.volga.local:0    LISTENING
  TCP    boss1:1111             boss1.volga.local:0    LISTENING
  TCP    boss1:1113             boss1.volga.local:0    LISTENING
  TCP    boss1:1117             boss1.volga.local:0    LISTENING
  TCP    boss1:1125             boss1.volga.local:0    LISTENING
  TCP    boss1:1190             boss1.volga.local:0    LISTENING
  TCP    boss1:1445             boss1.volga.local:0    LISTENING
  TCP    boss1:1447             boss1.volga.local:0    LISTENING
  TCP    boss1:3268             boss1.volga.local:0    LISTENING
  TCP    boss1:3269             boss1.volga.local:0    LISTENING
  TCP    boss1:3372             boss1.volga.local:0    LISTENING
  TCP    boss1:3389             boss1.volga.local:0    LISTENING
  TCP    boss1:http             boss1.volga.local:0    LISTENING
  TCP    boss1:netbios-ssn      boss1.volga.local:0    LISTENING
  TCP    boss1:ldap             boss1.volga.local:1097  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1443  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1444  TIME_WAIT
  TCP    boss1:microsoft-ds     boss1.volga.local:1445  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1099  ESTABLISHED
  TCP    boss1:1026             boss1.volga.local:1190  ESTABLISHED
  TCP    boss1:1071             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1097             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1099             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1190             boss1.volga.local:1026  ESTABLISHED
  TCP    boss1:1195             boss1.volga.local:microsoft-ds  TIME_WAIT
  TCP    boss1:1241             boss1.volga.local:epmap  TIME_WAIT
  TCP    boss1:1242             boss1.volga.local:1026  TIME_WAIT
  TCP    boss1:1249             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1259             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1279             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1304             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1319             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1331             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1337             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1348             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1356             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1368             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1376             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1390             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1396             boss1.volga.local:domain  TIME_WAIT
  TCP    boss1:1445             boss1.volga.local:microsoft-ds  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1088  ESTABLISHED
  TCP    boss1:ldap             boss1.volga.local:1251  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1263  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1282  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1306  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1312  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1321  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1333  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1341  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1350  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1358  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1370  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1378  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1392  TIME_WAIT
  TCP    boss1:ldap             boss1.volga.local:1398  TIME_WAIT
  TCP    boss1:1069             boss1.volga.local:ldap  CLOSE_WAIT
  TCP    boss1:1088             boss1.volga.local:ldap  ESTABLISHED
  TCP    boss1:1447             ns.mts-nn.ru:domain    SYN_SENT
  UDP    boss1:bootpc          :                   
  UDP    boss1:epmap           :                   
  UDP    boss1:microsoft-ds    :                   
  UDP    boss1:1028            :                   
  UDP    boss1:1056            :                   
  UDP    boss1:1068            :                   
  UDP    boss1:1070            :                   
  UDP    boss1:1077            :                   
  UDP    boss1:1080            :                   
  UDP    boss1:1086            :                   
  UDP    boss1:1087            :                   
  UDP    boss1:1096            :                   
  UDP    boss1:1112            :                   
  UDP    boss1:1114            :                   
  UDP    boss1:1118            :                   
  UDP    boss1:1191            :                   
  UDP    boss1:3456            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:bootps          :                   
  UDP    boss1:bootpc          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:ntp             :                   
  UDP    boss1:netbios-ns      :                   
  UDP    boss1:netbios-dgm     :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :                   
  UDP    boss1:1119            :                   
  UDP    boss1:2535            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:1085            :                   
  UDP    boss1:domain          :                   
  UDP    boss1:kerberos        :                   
  UDP    boss1:389             :                   
  UDP    boss1:kpasswd         :                   
  UDP    boss1:isakmp          :

---

Приложение 3:
Cписок процессов

smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
termsrv.exe
svchost.exe
spoolsv.exe
msdtc.exe
Dfssvc.exe
tcpsvcs.exe
svchost.exe
llssrv.exe
NMSSvc.exe
ntfrs.exe
locator.exe
MSTask.exe
win32sl.exe
WinMgmt.exe
dns.exe
inetinfo.exe
mssearch.exe
basebrd.exe
iomgr.exe
ni_nic.exe
ipsa.exe
lra.exe
lra.exe
sha.exe
ciodmi.exe

---

Что-то мне это процессы не нравятся. Провет что они, откуда... 10.12.04 05:32
Автор: vitaliy_m Статус: Незарегистрированный пользователь

<"чистая" ссылка>

> Приложение 3:
> Cписок процессов
> NMSSvc.exe
> ntfrs.exe
> win32sl.exe
> basebrd.exe
> ni_nic.exe
> ipsa.exe
> lra.exe
> lra.exe
> sha.exe
> ciodmi.exe
> iomgr.exe
Что-то мне это процессы не нравятся. Провет что они, откуда пускаются, найди файлы
посмотри версию, посмотри вювером на подозрительные места (строки текста).
Перезагрузись в Safe моде и прибей, включая там, откуда пускаются.

> locator.exe
А накой RPC Locator? У меня без него работает.

> dns.exe
Если демен есть, то оставь...

> inetinfo.exe
А IIS что крутит?

> mssearch.exe
Всякие поиски на сервере не нужны - выключи

ntfrs.exe - служба репликации файлов, всё остальное -... 14.12.04 14:48
Автор: cxell Статус: Незарегистрированный пользователь

<"чистая" ссылка>

> > NMSSvc.exe
> > ntfrs.exe
> > win32sl.exe
> > basebrd.exe
> > ni_nic.exe
> > ipsa.exe
> > lra.exe
> > lra.exe
> > sha.exe
> > ciodmi.exe
> > iomgr.exe
> Что-то мне это процессы не нравятся. Провет что они, откуда
> пускаются, найди файлы
> посмотри версию, посмотри вювером на подозрительные места
> (строки текста).

ntfrs.exe - служба репликации файлов, всё остальное - драйвера и прочие приблуды, шедшие в комплекте с сервером. Сравнил с драйверами в архиве - всё совпадает.

> > locator.exe
> А накой RPC Locator? У меня без него работает.
Остановил.

> > dns.exe
> Если демен есть, то оставь...
Домен есть. Оставил.

> > inetinfo.exe
> А IIS что крутит?
Вроде ничего. Все настройки были по умолчанию. Остановил и снёс IIS, в журнале системных событий каждые 5 минут стало появляться сообщение об ошибке 0x534. Исправил по совету Liz вот отсюда:
http://www.eventid.net/display.asp?eventid=1202&eventno=348&source=SceCli&phase=1
(после сноса IIS надо вручную удалить записи о пользователях IWAM и IUSR из политик безопасности контроллера домена)

> > mssearch.exe
> Всякие поиски на сервере не нужны - выключи
Это SQL Server запускает. Но так как в другом месте на аналогичном сервере всё работает и без mssearch - остановил.

Результат - нулевой. Наверное, будет быстрее всё переустановить...

Page build time: 0 s

Design: Vadim Derkach