служба lsass.exe грузит весь исходящий канал

[Andrey_06_kz]

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

[Воронцов]

Я бы для начала драйвера на сетевые карты обновил до актуальных версий. Плюс сделайте отчет gsi и выложите его сюда.

[Ummitium]

Надо понять, на какие адреса идут запросы.
Для этого скачать Procmon:

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Оставить отображение сетевой активности.

[SQ]

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:

FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

[Ummitium]

Человек пишет, что трафик слишком большой именно исходящий. В случае сетевых атак трафик зашкаливал бы входящий. 

[Andrey_06_kz]

19.01.2021 в 15:37, Andrey_06_kz сказал:

Доброго времени суток господа гуру сисадмины

Прошу Вашей помощи

Создавал тему в другой группе и после определенных манипуляций господа которые подсказывали что делать сказали обратиться сюда и указать ссылку на тему которую создал

Прошу помощи

Перейдя по ссылке описаны все шаги и есть вложения

Спасибо

 

 

Хочу сказать что решил проблему созданием правила в локальной политике безопасности на блокировку исходящего трафика 

Не знаю на сколько это правильно, но помогло

 

12 часов назад, SQ сказал:

Здравствуйте,

Пoхоже вам необходимо попробовать использовать wireshark, чтобы проанализировать сетевой трафик, как возможный вариант идет атака на днс-сервер или ldap.

 

Я в логах увидел следующее правило:

FirewallRules: [{2663170C-AF77-4F32-BDD5-8A9D9F11DE09}] => (Block) LPort=389

уточните пожалуйста вы блокируете какой протокол TCP или UDP?

и тот и то пробовал в брандмауэре, но результата не дало

в политике безопасности ip фильтрации 389 заблочил по udp и сразу норм всё стало

Но всё же хотелось бы узнать причину почему так происходит

Говорили что возможно такое бывает из-за обнов

[andrew75]

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

Изменено 20 января, 2021 пользователем andrew75

[Andrey_06_kz]

39 минут назад, andrew75 сказал:

Почитайте ссылку, может натолкнет на какие-то идеи:

https://www.atlex.ru/baza-znanij/rukovodstva/kak-ubeditsya-chto-sluzhba-ldap-na-windows-server-ne-mozhet-byt-ispolzovana-dlya-atak/

 

Сервер за роутером?

Возможно надо искать заражение внутри сети.

всё таки есть предположение что это какая то гадость залезла да?

Правда Ваши коллеги по вирусам сказали что не смогут помочь и к Вам отправили)

[Sandor]

2 минуты назад, Andrey_06_kz сказал:

сказали что не смогут помочь

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

[Ummitium]

Чтоб понять причину, надо знать куда направляется трафик. Вам написали инструменты procmon, wireshark. Пробуйте с помощью них определить, куда отправляется трафик.

 

[andrew75]

@Andrey_06_kz, гадость может быть не на этом компьютере, а в локальной сети.

[Ummitium]

11 часов назад, Sandor сказал:

Уточню: по предоставленным логам с конкретного компьютера ничего вредоносного обнаружено не было.

Я в этих делах не эксперт, но возможно есть продвинутые вредоносы, которые с вашими антивирусными утилитами так просто не обнаружить, если они уже активны в системе.

[Воронцов]

20 часов назад, Andrey_06_kz сказал:

Говорили что возможно такое бывает из-за обнов

А обновы у вас регулярно ставятся?