|
|
Регистрация | Правила форума | FAQ форума | Справка | Пользователи | Поиск | Сообщения за день | Все разделы прочитаны |
Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь. |
|
Опции темы | Опции просмотра |
23.11.2012, 18:18 | #1 |
VIP-пользователь
|
Необычные пакеты в сетевом трафике.
Доброго времени суток.
Изучая не так давно сетевой трафик заметил необычные пакеты и соединения Jabber . На компьютере нет клиентов использующих данное соединение. С чего начать расследование ?.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. |
02.12.2012, 13:54 | #2 |
VIP-пользователь
|
Доброго времени суток .
Возможно будет интересно. Ключевой составляющей любого плана кибербезопасности является «непрерывный мониторинг», или возможность аудита и мониторинга через сетевое окружение, а также настройка автоматического анализа получающихся журналов для обнаружения аномального поведения, заслуживающего подробного исследования. Это часть нового менталитета «предполагаемых брешей», который признает, что не существует на 100 % защищенных систем. К несчастью, компания, оказавшаяся в центре этой истории, не имела всеобъемлющей системы мониторинга, поэтому была взломана некоторое время назад, что обнаружилось при обновлении сигнатур антивируса, удалившего заражение и привлекшего внимание к проблеме. Кроме подчеркивания, насколько слаба система безопасности во многих компаниях, данный случай иллюстрирует использование нескольких возможностей утилиты Sysinternals Process Monitor, включая диалог Process Tree и одну возможность, на которую многие не обращают внимания – способность программы Process Monitor контролировать сетевую активность. Дело началось, когда сетевой администратор южноафриканской компании связался со службой поддержки Microsoft Services Premier Support и сообщил, что корпоративный Exchange-сервер, работающий под управлением Windows Server 2008 R2, создает исходящие FTP-соединения. Он заметил это только благодаря предупреждению установленного в компании Microsoft Forefront Endpoint Protection (FEP) о том, что тот вычистил с сервера кусок вредоносного кода. Предполагая, что сеть может быть по-прежнему скомпрометирована, несмотря на сообщение FEP о чистоте системы, администратор проверил журналы брандмауэров, защищающих периметр компании. К своему ужасу он обнаружил FTP-соединения, исчислявшимися сотнями в день на продолжении нескольких последних недель. Вместо попытки начать собственное расследование, администратор обратился в команду консультантов по безопасности Microsoft, специализирующуюся на помощи пользователям при восстановлении после атак. Инженер поддержки Microsoft, которому было поручено дело, начал с пятиминутной трассировки событий сервера Exchange, выполненной с помощью программы Process Monitor. После завершения трассировки он открыл диалог Process Tree (дерево процессов), который находится в меню Tools и показывает отношения родитель-потомок для всех процессов, попавших в текущий журнал. Он сразу увидел, что за эти пять минут были запущены 20 FTP-процессов, каждый из которых был короткоживущим, за исключением одного, остававшегося по-прежнему активным (процесс 7324 на рисунке ниже):http://blogs.technet.com/b/mark_russ...ecz&prod=zSQLz
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. |
19.08.2013, 13:21 | #3 |
VIP-пользователь
|
Куда интиресно он сливает мою инфу с Windows 8 ,трассировка показала следующие.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. Последний раз редактировалось dr-web, 19.08.2013 в 13:27. |
19.08.2013, 13:27 | #4 |
VIP-пользователь
|
странно 100.93.66.105
ISP: CARRIER-GRADE NAT RFC6598 (Отрубить их что ли)
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. Последний раз редактировалось dr-web, 20.08.2013 в 04:01. |
21.08.2013, 23:18 | #5 |
VIP-пользователь
|
Зачем столько ненужных хостов грипят меня?
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. |
18.01.2014, 21:35 | #6 |
VIP-пользователь
|
обнаружил в чипе Qualcomm программную закладку , отправляет статистику на свои сервера,идентифицируеть себя очень редко.
__________________
Главное,чтобы работало,а веришь ты в это или нет - не важно. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|
Справочник словарей | ||
Словари русского языка - www.gramota.ru | Яndex - Словари | Википедия - ru.wikipedia.org |
|
|
|