Помогите разобраться с логами.

Март 9, 2010

SEPM version 11.0.5002.333

На сервере есть такие записи в логах:

Event Description: [sID: 23179] MSRPC Server Service BO detected. Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe

Attack Type: Intrusion Prevention

Event Time: 09.03.2010 10:11:08

Remote Host IP: 192.168.0.141

Occurrence: 1

Alert: 1

Begin Time: 09.03.2010 10:11:10

End Time: 09.03.2010 10:11:10

Domain Name: XXX

Site Name: Site SXXX

Server Name: SXXX

Group Name: My Company\Test

Computer Name

Current: SXXX

When event occurred: SXXX

IP Address

Current: 192.168.0.247

When event occurred: 192.168.0.247

Operating system name: Windows Server 2003 and Windows XP 64 bit

Location Name: Default

User Name: User1

Severity: Critical

Local MAC: 00505697474A

Remote MAC: 000000000000

Hardware Key: DC10228C9BC4A2609A26E522F310B232

Network Protocol: TCP

Traffic Direction: Inbound

Send SNMP trap: 1

Remote Host Name:

Hack Type: 0

Application Name: C:/WINDOWS/system32/ntoskrnl.exe

В логах по отношению к этому хосту различные записи в Attack Type: Active Response disengaged, Active Response и Intrusion Prevention

Вроде бы понятно что модуль Network Threat Protection зафиксировал атаку со стороны Remote Host IP: 192.168.0.141. Но в чем КОНКРЕТНО проявилась атака? Как посмотреть средствами Symantec?

Март 9, 2010

У меня эта сигнатурка так ругалась на w32.Downadup =)

Ищите инфицированный хост в сети.

P.S.

Кирилл, спасибо. Как раз даундап эту уязвимость и использует широко и активно =)

Март 9, 2010

radamol информация об атаке:

http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

Март 9, 2010

radamol информация об атаке:
http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

В целом спасибо, я понял где информация об атаке. Но это не то, что я хотел услышать. Хотелось бы получить от сервера информацию приблизительно такую: идет перебор портов, или что нить в этом роде.

Март 9, 2010

идет перебор портов, или что нить в этом роде.

Увы, не получите такого в SEPM.

Март 9, 2010

идет перебор портов, или что нить в этом роде.

В данном случае IPS фиксирует в сетевых пакетах аномалии, характерные для данного вида атаки. Большего к сожалению сказать нет возможности

Март 11, 2010

radamol информация об атаке:
http://www.symantec.com/business/security_....jsp?asid=23179

и о атакуемой уязвимости:

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

По ссылке на Симантек есть такая фраза To view this vulnerability as a standard entry in the Common Vulnerabilities and Exposures list, see CVE-2008-4250.

Так вот этот CVE-2008-4250 я так и не смог найти. Подскажите где это.

Март 11, 2010

radamol,

http://www.securityfocus.com

securityvulns.ru

google.ru

www.securiteam.com

Март 11, 2010

radamol http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2008-4250

Войти

Помогите разобраться с логами.

Recommended Posts

radamol 18

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Shell 301

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Кирилл Керценбаум 671

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

radamol 18

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Shell 301

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Кирилл Керценбаум 671

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

radamol 18

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Shell 301

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Кирилл Керценбаум 671

Поделиться сообщением

Ссылка на сообщение

Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Создать учетную запись

Войти

Объявления

Сообщения

Просмотр

Активность

Отслеживаемый контент