|
|
трафик в локалке и 139 порт |
☑ |
|
0
wizard_forum
28.03.14
✎
13:07
|
с прошлой недели отметил в сетке увеличение трафика
в результате было обнаружено, что в локалке одна из машин бомбит с 445 порта сериями пакетов другую, перебирая порты через один (2463, 2465, 2467 и т.д.)
Закрыл 445 порт, пошло тоже самое только со 139-го порта.
Пакеты посылаются от имени процесса system.
139 порт закрыть не могу, машина перестает видеть локалку.
Штатный антивирус и доп.примочки (AVZ, CureIt и т.д.) ничего не находят.
У кого-нибудь такое случалось? Как боролись?
|
|
|
1
vlandev
28.03.14
✎
13:08
|
Не мешайте виндусам работать!
|
|
|
2
Zamestas
28.03.14
✎
13:19
|
(0) Там троян по ходу - сними винт и проверь на другой машине - лучше касперским.
|
|
|
3
vlandev
28.03.14
✎
13:22
|
445 и 139 порт это SMB (CIFS) протоколы , трояны обычно спам рассылают или досят по http.
|
|
|
4
fvadim
28.03.14
✎
13:31
|
(3) а распространяются как раз через 139 и 443
|
|
|
5
vlandev
28.03.14
✎
13:38
|
(4) В данном случае если у автора и есть что то вредоносное то это уже будет не троян , а руткит. А что более вероятно - это просто msbrowse.
|
|
|
6
spectre1978
28.03.14
✎
14:00
|
(0) Попробуй винт отсоединить и проверить на другой машине. Если это руткит, то при активной хост-системе ничего антивири не найдут
|
|
|
7
wizard_forum
28.03.14
✎
14:07
|
(6) попробую! сейчас закрыл 445 порт на том компе, который бомбардировался - и вроде, пока трафик устаканился
|
|
