Перейти к содержанию

Сетевые атаки на контроллер домена Intrusion.Win.DCOM.exploit порт 135


Рекомендуемые сообщения

Добрый день!

 

Включили мониторинг сетевых атак и начали появляться сообщения с различных компьютеров в сети, например:

 

Событие Обнаружена сетевая атака произошло на компьютере SRV-DC01 в домене *** 9 сентября 2014 г. 10:34:00 (GMT+04:00)

Тип события: Обнаружена сетевая атака

Программа\Название: Неизвестно

Компонент: Защита от сетевых атак

Результат\Описание: Запрещено

Результат\Название: Intrusion.Win.DCOM.exploit

Объект: TCP от 192.168.102.197 на локальный порт 135

Объект\Тип: Сетевой пакет

Объект\Название: TCP от 192.168.102.197 на локальный порт 135

 

SRV-DC01 (Windows 2008R2 64bit) - это контроллер домена

машины с которых идет атака - Windows 7 64bit  с актуальными версиями баз  KES 10.2.1.23

вирусы проверены, есть подозрение что это ложное срабатывание.

На что может срабатывать защита от сетевых атак?

 

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Я бы вам посоветовал сделать дамп сетевых атак и отправить на анализ в ЛК на предмет ложного срабатывания. А еще лучше на сервер поставить WSEE вместо KES

Контроллер домена какие-нибудь еще роли выполняет кроме DC?

Изменено пользователем mvs
Ссылка на сообщение
Поделиться на другие сайты

Я бы вам посоветовал сделать дамп сетевых атак и отправить на анализ в ЛК на предмет ложного срабатывания. А еще лучше на сервер поставить WSEE вместо KES

Контроллер домена какие-нибудь еще роли выполняет кроме DC?

Спасибо, дамп сделаю, когда поймаю атаку во время дампа. Контроллер больше никаких ролей не выполняет, кроме собственной.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Простой пользователь
      Здравствуйте, сегодня антивирус выдал сообщение
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
      Объект: TCP от 31.192.104.136 на 46.147.255.62:1355
      Дополнительно: 46.147.255.62
      Дата выпуска баз: Сегодня, 04.05.2021 17:10:00
       
      Ровно месяц назад было подобное же сообщение
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
      Объект: TCP от 77.123.67.5 на 176.215.140.123:1980
      Дополнительно: 176.215.140.123
      Дата выпуска баз: 04.04.2021 16:13:00
       
      Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.
      Смущает, что атака зафиксирована ровно через месяц, день в день, после предыдущей.
      После предыдущей атаке открывал тему. 
      Подскажите, что может значить такая повторяющаяся сетевая атака?
      Заранее спасибо.
       
       
      CollectionLog-2021.05.04-21.29.zip
    • От Простой пользователь
      Здравствуйте. Недавно в отчетах Касперского обнаружил такое сообщение.
      Событие: Обнаружена ранее открытая вредоносная ссылка
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Имя программы: firefox.exe
      Путь к программе: C:\Program Files\Mozilla Firefox
      Компонент: Веб-Антивирус
      Описание результата: Не обработано
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Подскажите, что это может быть и насколько это опасно.
       
      Через несколько дней после сообщения о вредоносной ссылке мой компьютер подвергся сетевой атаке
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
       
      Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.
      Подскажите, что это может быть и насколько это опасно.
      CollectionLog-2021.04.06-19.29.zip
    • От User6323
      Добрый день. Помогите, пожалуйста, что делать в такой ситуации? В течение последних 2-х дней сыпяться уведомления антивируса Kaspersky Free об обнаружении сетевых атак.  Ip-адрес атакующего компа то повторяется, то меняется. Приложил скрин отчета, а также выгрузку отчета. Прошу помочь🙏

      отчет_сетевые атаки Scan.Generic.PortScan.TCP.txt
    • От МаксоН
      доброго времени суток. касперский постоянно пишет подобные сообщения
      3000:100:2800:22a:1100::;Обнаружена сетевая атака;TCP;Активный пользователь;Обнаруженный объект добавлен в исключения;Scan.Generic.PortScan.TCP;Обнаруженный объект добавлен в исключения: Scan.Generic.PortScan.TCP;TCP от 3000:100:2800:22a:1100:: на локальный порт 39770;TCP от 3000:100:2800:22a:1100:: на локальный порт 39770;Сетевой пакет;39770;;Сегодня, 07.11.2020 17:46
      и подобное пишет с интервалом в 1 минуту. помогите пожалуйста разобраться.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...