THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Антивирусная защита, Malware (вредоносное ПО)

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь.

Ответ
 
Опции темы Опции просмотра
Старый 23.11.2012, 18:18   #1
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
Необычные пакеты в сетевом трафике.

Доброго времени суток.
Изучая не так давно сетевой трафик заметил необычные пакеты и соединения Jabber .
На компьютере нет клиентов использующих данное соединение. С чего начать расследование ?.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Старый 02.12.2012, 13:54   #2
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
Доброго времени суток .
Возможно будет интересно.


Ключевой составляющей любого плана кибербезопасности является «непрерывный мониторинг», или возможность аудита и мониторинга через сетевое окружение, а также настройка автоматического анализа получающихся журналов для обнаружения аномального поведения, заслуживающего подробного исследования. Это часть нового менталитета «предполагаемых брешей», который признает, что не существует на 100 % защищенных систем. К несчастью, компания, оказавшаяся в центре этой истории, не имела всеобъемлющей системы мониторинга, поэтому была взломана некоторое время назад, что обнаружилось при обновлении сигнатур антивируса, удалившего заражение и привлекшего внимание к проблеме. Кроме подчеркивания, насколько слаба система безопасности во многих компаниях, данный случай иллюстрирует использование нескольких возможностей утилиты Sysinternals Process Monitor, включая диалог Process Tree и одну возможность, на которую многие не обращают внимания – способность программы Process Monitor контролировать сетевую активность.

Дело началось, когда сетевой администратор южноафриканской компании связался со службой поддержки Microsoft Services Premier Support и сообщил, что корпоративный Exchange-сервер, работающий под управлением Windows Server 2008 R2, создает исходящие FTP-соединения. Он заметил это только благодаря предупреждению установленного в компании Microsoft Forefront Endpoint Protection (FEP) о том, что тот вычистил с сервера кусок вредоносного кода. Предполагая, что сеть может быть по-прежнему скомпрометирована, несмотря на сообщение FEP о чистоте системы, администратор проверил журналы брандмауэров, защищающих периметр компании. К своему ужасу он обнаружил FTP-соединения, исчислявшимися сотнями в день на продолжении нескольких последних недель. Вместо попытки начать собственное расследование, администратор обратился в команду консультантов по безопасности Microsoft, специализирующуюся на помощи пользователям при восстановлении после атак.

Инженер поддержки Microsoft, которому было поручено дело, начал с пятиминутной трассировки событий сервера Exchange, выполненной с помощью программы Process Monitor. После завершения трассировки он открыл диалог Process Tree (дерево процессов), который находится в меню Tools и показывает отношения родитель-потомок для всех процессов, попавших в текущий журнал. Он сразу увидел, что за эти пять минут были запущены 20 FTP-процессов, каждый из которых был короткоживущим, за исключением одного, остававшегося по-прежнему активным (процесс 7324 на рисунке ниже):http://blogs.technet.com/b/mark_russ...ecz&prod=zSQLz
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Старый 19.08.2013, 13:21   #3
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
Куда интиресно он сливает мою инфу с Windows 8 ,трассировка показала следующие.
Изображения
Тип файла: png Capture.PNG (26.9 Кб, 87 просмотров)
Тип файла: png 1.PNG (91.2 Кб, 82 просмотров)
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.

Последний раз редактировалось dr-web, 19.08.2013 в 13:27.
dr-web вне форума   Ответить с цитированием
Старый 19.08.2013, 13:27   #4
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
странно 100.93.66.105
ISP: CARRIER-GRADE NAT RFC6598
(Отрубить их что ли)
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.

Последний раз редактировалось dr-web, 20.08.2013 в 04:01.
dr-web вне форума   Ответить с цитированием
Старый 21.08.2013, 23:18   #5
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
Зачем столько ненужных хостов грипят меня?
Изображения
Тип файла: png 3.PNG (13.3 Кб, 103 просмотров)
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Старый 18.01.2014, 21:35   #6
Меню пользователя dr-web
VIP-пользователь
 
Аватар для dr-web
  
обнаружил в чипе Qualcomm программную закладку , отправляет статистику на свои сервера,идентифицируеть себя очень редко.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно.
dr-web вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 06:26.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru