radamol

Помогите разобраться с логами.

Опубликовал radamol,

В этой теме 9 сообщений

Опубликовано

SEPM version 11.0.5002.333

Помогите разобраться с логами.

На сервере есть такие записи в логах:

Event Description: [sID: 23179] MSRPC Server Service BO detected. Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe

Attack Type: Intrusion Prevention

Event Time: 09.03.2010 10:11:08

Remote Host IP: 192.168.0.141

Occurrence: 1

Alert: 1

Begin Time: 09.03.2010 10:11:10

End Time: 09.03.2010 10:11:10

Domain Name: XXX

Site Name: Site SXXX

Server Name: SXXX

Group Name: My Company\Test

Computer Name

Current: SXXX

When event occurred: SXXX

IP Address

Current: 192.168.0.247

When event occurred: 192.168.0.247

Operating system name: Windows Server 2003 and Windows XP 64 bit

Location Name: Default

User Name: User1

Severity: Critical

Local MAC: 00505697474A

Remote MAC: 000000000000

Hardware Key: DC10228C9BC4A2609A26E522F310B232

Network Protocol: TCP

Traffic Direction: Inbound

Send SNMP trap: 1

Remote Host Name:

Hack Type: 0

Application Name: C:/WINDOWS/system32/ntoskrnl.exe

В логах по отношению к этому хосту различные записи в Attack Type: Active Response disengaged, Active Response и Intrusion Prevention

Вроде бы понятно что модуль Network Threat Protection зафиксировал атаку со стороны Remote Host IP: 192.168.0.141. Но в чем КОНКРЕТНО проявилась атака? Как посмотреть средствами Symantec?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано

У меня эта сигнатурка так ругалась на w32.Downadup =)

Ищите инфицированный хост в сети.

P.S.

Кирилл, спасибо. Как раз даундап эту уязвимость и использует широко и активно =)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано

radamol информация об атаке:

http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
radamol информация об атаке:

http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

В целом спасибо, я понял где информация об атаке. Но это не то, что я хотел услышать. Хотелось бы получить от сервера информацию приблизительно такую: идет перебор портов, или что нить в этом роде.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
идет перебор портов, или что нить в этом роде.

Увы, не получите такого в SEPM.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
идет перебор портов, или что нить в этом роде.

В данном случае IPS фиксирует в сетевых пакетах аномалии, характерные для данного вида атаки. Большего к сожалению сказать нет возможности

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Опубликовано
radamol информация об атаке:

http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

По ссылке на Симантек есть такая фраза To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2008-4250.

Так вот этот CVE-2008-4250 я так и не смог найти. Подскажите где это.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Перейти к списку тем Вопросы по Symantec Endpoint Protection
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS

  • Сообщения

    • Pechalka
      Для магазина

      От Pechalka · Опубликовано

      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      не обновляется malwarebytes free

      От Bomborgman · Опубликовано

      Точно такая же проблема на Premium-версии.
    • Dion
      Про сайт

      От Dion · Опубликовано

      Всё таки как далеко продвинулись компьютерные технологии по сравнению с начало девяностых годов когда ещё никто в помине не знал, что будет такое  html. А Сейчас уже наверно каждый дошкольник разбирается круче в компьютере  чем в девяностые старшеклассник!
    • ratus
      не обновляется malwarebytes free

      От ratus · Опубликовано

      Со временем в системе все нормально. И еще нюанс, первые 10 минут после загрузки системы значок обновлений с зеленой галочкой. В последствии, он меняется на восклицательный знак оранжевого цвета. Значок отображается на информационной панели антивируса в правом столбце.
    • remontmotory
      Промышленная электроника и настройка

      От remontmotory · Опубликовано

      Открылась новая организация по ремонту промышленной электроники: сервомоторов(серводвигателей), 
      что может быть весьма удобно для производственников и предприятий России. Теперь отремонтировать оборудование стало проще и возить ближе. 
      И сразу в двух больших городах: Самаре и Тольятти. Любое предприятие может отремонтировать сервомотор в ближайшем из этих городов. 
      Решили поделиться опытом, чтобы начинающие электронщики могли выполнить простой ремонт в домашних условиях Наш тестовый ролик по диагностике и ремонту электроники.
      Публикуем тестовый видеоролик по ведению работ https://www.youtube.com/watch?v=TIjKW7-2fwQ&t=1s
      И начинаем серию технических статей, рассказываем о нюансах работы сервомоторов https://www.remontservo.ru/pages/list-publications.html