我有一台 Windows Server 2008 机器作为域控制器运行。我注意到在我的 Cisco ASA 防火墙日志中,该机器不断通过 TCP 端口 445 向外部主机发送请求(每秒一千个请求)。我已尝试阻止此出站流量进入互联网(使用 ASA),但我希望这些请求完全不发生。我尝试禁用 TCP/IP over NetBIOS。我甚至在机器本身上打开了 Windows 高级防火墙来阻止出站 445,但 ASA 仍然检测到此特定流量击中它。我有其他 DC 和类似类型的机器,它们的行为方式与此机器不同。
这是正常的吗?有没有办法阻止这种垃圾邮件?我被感染了吗?
在我拒绝防火墙之前,它会向互联网上的 IP 地址发送。在系统日志中,它看起来像:
4 Jun 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 拒绝 tcp src 内部:192.168.50.15/59890 dst 外部:38.250.160.20/445 按访问组“OUTSIDE-OUT” [0xb2cd162d, 0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 拒绝 tcp src 内部:192.168.50.15/59808 dst outside:37.216.197.51/445 由访问组“OUTSIDE-OUT” [0xb2cd162d, 0x0] 2010 年 6 月 1 日 4 日 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 拒绝 tcp src inside:192.168.50.15/59853 dst outside:158.105.129.67/445 由访问组“OUTSIDE-OUT” [0xb2cd162d, 0x0] 2010 年 6 月 1 日 4 日 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 拒绝 tcp src 内部:192.168.50.15/59811 dst 外部:69.158.49.125/445 按访问组“OUTSIDE-OUT” [0xb2cd162d,0x0]
谢谢宇宙。
答案1
k. 它是一个病毒。