ТавроФорум

ТавроФорум (https://forum.tavria.org.ua/index.php)
-   Компьютеры (https://forum.tavria.org.ua/forumdisplay.php?f=70)
-   -   NOD блокирует локальную сеть. (https://forum.tavria.org.ua/showthread.php?t=50114)

ArtemSaratov 14.02.2012 17:18
NOD блокирует локальную сеть.
 
Стоит НОД Смарт Секурти 4.
Закрывает доступ по сети к тем машинам, на которых стоит Вин 7 Про 64 бит...
По крайней мере я ничего другого общего у этих машин не вижу, кроме ОС..

В журнал при этом пишет
14.02.2012 18:04:11 Обнаружена атака сканирования портов 192.168.0.14:5355(не мой комп) 192.168.0.6:63378 (мой комп) UDP
Атака четко каждые 10 минут 30 секунд.

Причем в один день атаки с одного компа, в другой с другого, в третий с третьего..
что за ерунда??

fsv 14.02.2012 18:23
http://s52.radikal.ru/i135/1202/6a/255ea1805658.jpg


алееей - оп

hellcommander 14.02.2012 18:27
http://img.ntv.ru/home/news/20120212/al_caeda_ap.jpg

Rambo 14.02.2012 19:42
запустить на атакующем компе какой-нибудь сниффер и посмотреть, что за приложение. А вообще - файерволл в локалке - моветон.

ArtemSaratov 15.02.2012 12:36
кроме локалки есть и глобалка...
а в локалке все бегают ко всем, но меня атакуют только 2-3 компа ((

ArtemSaratov 15.02.2012 12:36
Цитата:
Сообщение от fsv (Сообщение 1585213)
алееей - оп
УЖЕ сделано....Не в этом проблема...

ArtemSaratov 15.02.2012 12:37
Цитата:
Сообщение от Rambo (Сообщение 1585334)
запустить на атакующем компе какой-нибудь сниффер и посмотреть, что за приложение.
а можете какой-то конкретно посоветовать??
чтоб не навороченый был...)))

fox_12 15.02.2012 14:02
Цитата:
Сообщение от ArtemSaratov (Сообщение 1586867)
а можете какой-то конкретно посоветовать??
чтоб не навороченый был...)))
http://www.nirsoft.net/utils/cports.html

ArtemSaratov 16.02.2012 09:51
Спасибо! Я его скачал..

вчера поставил этот сниффер на "атакующий" порт. Сегодня в ноде увидел в 10.47 запись:
16.02.2012 10:03:52 Обнаружена атака сканирования портов 192.168.0.13:5355 192.168.0.6:49734 UDP
Пошел смотреть, что видит сниффер "аттакера".
Снифер увидел на 192.168.0.13:5355 файл svhost.exe из папки Систем32. ID процесса 1316, локальный сервис LLMNR....

Вирус в svhost или что это?

PavelZT 16.02.2012 10:45
Настоящий файл это svchost.exe, все остальные это мимикрия.

fox_12 16.02.2012 12:00
Цитата:
Сообщение от PavelZT (Сообщение 1588938)
Настоящий файл это svchost.exe, все остальные это мимикрия.
+100500
Теперь скачайте вот это:
http://codestuff.tripod.com/products_starter.html
Прибейте данный процесс, затем почистите подозрительные стартовые скрипты этой же программой.
Затем хотя бы этой программой:
http://www.freedrweb.com/cureit/?lng=en
Зачистите компьютер от вирусов.

Если таки название сервиса svchost.exe, то в данном случае - это работа одной из Майкрософтовских приблуд (Link-Local Multicast Name Resolution (LLMNR)):
http://www.pc-library.com/ports/tcp-udp-port/5355/
Вот подробнее за сам протокол:
http://en.wikipedia.org/wiki/LLMNR
В таком случае прописать порт 5355 в исключения, и пока успокоиться на этом :)

ArtemSaratov 17.02.2012 17:16
прошу прощения! всеж таки свКхост.
Но, на всякий пожарный, я его закинул на вирус тотал.... eSafe ругнулся на какой-то троян..
вот лог снифера
Процесс : svchost.exe
ID процесса : 1316
Протокол : UDP
Локальный порт : 5355
Локальный сервис : llmnr
Локальный адрес : 0.0.0.0
Удалённый порт :
Удалённый сервис :
Удалённый адрес :
Удалённый хост :
Статус :
Путь к файлу : C:\Windows\system32\svchost.exe
Наименование продукта: Операционная система Microsoft® Windows®
Описание файла : Хост-процесс для служб Windows
Версия файла : 6.1.7600.16385 (win7_rtm.090713-1255)
Компания : Microsoft Corporation
Процесс создан : 17.02.2012 10:05:34
Пользователь : NT AUTHORITY\NETWORK SERVICE
Сервисы процесса : CryptSvc, Dnscache, LanmanWorkstation, NlaSvc
Атрибуты процесса : A
Открыто в : 17.02.2012 10:15:46
Файл модуля :
Государство :
Заголовок окна :


Текущее время: 05:07. Часовой пояс GMT +3.

Перевод: zCarot Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.