Nejčastěji odpovídající uživatel
WinSrv2016 - lsass.exe - odesílání paketů do internetu

-
Ahojte, od nějaké doby mi na Windows serveru 2016 proces lsass.exe odesílá pakety (přes UDP port 389) někam do tramtárie a vytěžuje část uploadu internetové linky.
http://imgWorld.cz/Zmm381VrhI.PNG
Na serveru je antivirák: Avast Business Security a Windows defender (vše aktualizované), v procesech nevypadá, že by běžela nějaká cizí havěť.
Vygooglil jsem, že by mohlo pomoc upravit firewall:
Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené
Tohle když jsem nastavil, problém se vyřešil, ale cca po 12 hodinách provozu za jakoby zasekla služba DNS a nešla ani restartovat. Musel jsem restartovat celý server. Nevím, jestli to ale nebyla nějaká souhra náhod.
Prozatím jsem to vyřešil tak, že jsem v routeru (Mikrotiku) poskytovatele internetu zablokoval odesílání UDP 389 na WAN a teď vidím, že to Mikrotik musí blokovat (za noc cca 1GB dat)
Chtěl bych ale najít nějaké systémové řešení, jak tohle odesílání zastavit.
Děkuji za nápady.
- Upravený Václav Krátký pondělí 17. září 2018 7:48
Dotaz
Odpovědi
-
"My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). "
A proboha proč? Koho to napadlo to takto nakonfigurovat?
Pak se vcelku není co divit a zmínky o síti poskytovatele jsou úplně mimo mísu, když máte totálně otevřený server do internetu.
BB
- Označen jako odpověď Miroslav PráglModerator čtvrtek 20. září 2018 13:49
-
Je dobrym zvykem dat mezi posledni zarizeni ISP a moji LAN jeste nejaky MUJ FW.
Ty mas v teto pozici primo Windows server = tim FW je u tebe interni FW serveru plus vsechny vulnerability ve Windows. Neni to uplne idealni.
A nebo, pokud mas s ISP dobre vztahy, se domluvte a na jeho poslednim zarizeni (u tebe mikrotik) nastavte forward jen toho, co opravdu potrebujes. Nicmene nikdy nebudes mit jistotu, ze to tak opravdu nastavil. Navic Mikrotik ma posledni dobou sam spoustu objevenych der. Ma tvuj ISP vsechny patche v Mikrotiku?
- Označen jako odpověď Václav Krátký čtvrtek 20. září 2018 18:58
Všechny reakce
-
-
-
Jak mas nastavene DNS? Jake protokoly a Sluzby jsou povolene z Internetu? Zkousel jsi komunikaci odchytit wiresharkem - je-li napr iniciovana zvenci a pod? Jeste lepe by pomohl ntop.
Nepouzivas neco v Internetu (Azure …)?
MP
- Upravený Miroslav PráglModerator pondělí 17. září 2018 10:33
-
Ve správce DNS mám nastaveno v kolonce "Servery pro předávání" :
176.12.112.1 a 176.12.112.2 (to je od našeho poskytovatele internetu) a poté ještě tam mám google 8.8.8.8
Služby zvenčí běží: VPN přes L2TP a SSTP, IIS, SMTP a Exchange s jeho komponenty pro připojení klientů a jejich mobilů, přesměrování na terminal přes 3389,
ale koukal jsem, že ve Firewallu je povolena Cortana (tu nepoužíváme) a Azure taky vůbec nepoužíváme.
-
Ještě jsem zahlédl ve Firewallu, že tam je povoleno nějaké:
@{Microsoft.Windows.CloudExperienceHost_10.0.14393.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.CloudExperienceHost/resources/appDescription}
popis: @{Microsoft.Windows.CloudExperienceHost_10.0.14393.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.CloudExperienceHost/resources/appDescription}
Je to něco důležitého?
- Upravený Václav Krátký pondělí 17. září 2018 12:29
-
-
Já jsem to takhle nastavoval vždycky i na původním starém serveru, kde byly SBS2008, že jsem DNS poskytovatele dával do serveru pro předávání. Nevím, jak bych to ještě jinak nastavil. Druhý síťový adaptér už je odpojený. To jsem právě předělal kvůli té VPN, kdy teď už server běží pouze na jedné síťovce.
Klienti potom v DHCP používájí DNS právě tohoto našeho serveru, nemají tam nikde DNS poskytovatele internetu nebo googlu..Ale server to odesílá i když jsou všichni klienti odpojeni. Přišel jsem na to v noci. Prozatím to tedy blokuji v tom routeru. Při nejhorším to tak i ponechám, nebo zkusím ještě někdy potom jednou nastavit ten firewall:
Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené
Ale bojím se, aby mi potom zase to DNS nezamrzlo.
-
-
Teď možná budu trošku za blbce :-D
Mám tedy ty DNS servery našeho poskytovatele (176.12.112.1 a 176.12.112.2) přidat do té kolonky "Odkazy na kořenové servery" , nebo tam mám nechat co je defaultně ? Je tam A.root.servers-net. a pokračuje to dál až po M.root.servers.net.
kolonka "servery pro předávání" bude tedy úplně prázdná.
Pochopil jsem to správně?
-
Korenove servery nechcipaji. Pokud ano, planuje se to roky dopredu. Pouzivej je!
Jo to jsi ty s tema dvema sitovkama v serveru? No jestli "WAN" sitovka mela verejnou adresu, ta adresa ti ted smrdi v AD, ale je nedostupna, MUZE to vysvetlovat vse.
MP
- Upravený Miroslav PráglModerator pondělí 17. září 2018 14:12
-
-
Ano, to jsem přesně já. Tak odteď se budu podepisovat dvousíťovkář 😀 Předělání na jednu síťovku VPN pomohlo, ale nedokážu říct, jestli ten problém s odesíláním paketů přes Lsass.exe byl i předtím. Všiml jsem si toho až teď . Nicméně odstranil jsem všechno v serverech pro předávání, běží to tedy na kořenové servery. Restartoval jsem službu DNS, zkusil ipconfig /flushdns .. ale pakety se přes lsass.exe vesele odesílají dál. Takže opět jsem to bloknul na routeru.
-
-
-
-
Jsou tam jen interní IP adresy s názvem fyzického a virtuálního serveru a poté tam mám jen nastaveno ven:
autodiscover (Alias CNAME) pro naší veřejnou IP adresu
a "IS" (Hostitel A) s veřejnou IP adresou, kde máme venku informační systém
a "www" (Hostitel A) s veřejnou IP adresou, kde jsou umístěné webovky
Zóny zpětného vyhledávání obsahuje:
0.in-addr.arpa - kde je pouze názvový server - nášserver.domena.cz
127.in-addr.arpa - tam je názvový server (NS) - nášserver.domena.cz a 127.0.0.1 Ukazatel Pointer (PTR) s Data localhost
255.in-addr.arpa -opět jen názvový server - nášserver.domena.cz
Žádné IP adresy například ty, kam lsass.exe odesílá pakety tu nejsou ..
Asi to udělám tak, že do pátku nechám blokovat UDP 389 na mikrotiku a v pátek zkusím znovu přenastavit ten Firewall:
Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené
když už je teď upravené to DNS bez serverů pro předávání, možná to s tímhle pravidlem firewallu bude fungovat v pohodě a během víkendu bych to sledoval, jestli se to ustálilo (že se lsass.exe uklidní s odesíláním paketů) a DNS po několika hodinách nezamrzne.
-
-
Často se to střídá na různé IP, ale rád to pošlu.
pro snadnější kopírování to ještě vypíšu ručně:
idc.ly.ha
59.13.34.50
5.48.157.175
121.42.107.138
114.236.141.163
121.208.160.125
77.57.22.193
Ještě mě napadlo, že na tom serveru jsou nainstalované nějaké procesy přímo od Dellu. Jsou to DDVCollectorSvcApi.exe, DDVDataCollector.exe, DDVRulesProcessor.exe, DSM_BMU_SOLProxy32.exe.
Ale doufám, že je Dell tak inteligentní a nepoužívá lsass.exe pro odesílání nějakých prkotin do internetu.
-
-
Já jsem právě důvěřoval Avastu a Windows Defenderu. Mám trochu obavy cokoliv instalovat za programy typu Spybot Search and Destroy nebo Spyware terminator přímo na server. To dávám jen uživatelům na PC. Ale jestli je nějakej opravdu dobrý a budu mít jistotu, že mi neodstřelí nic, tak se nebráním. Můžu se opravdu spolehnout, že ten Malwarebytes Anti-Malware mi neudělá víc škody než úžitku? Přiznám se, neznám ho vůbec.
-
No kdysi se dal MBAM nainstalovat BEZ REZIDENTNICH OCHRAN, jen se nainstaloval, spustil (po spusteni se aktualizovaly signatury) a spustil se sken.
Ted se spusti automaticky trial period rezidentni ochrany :(
Jeste me napada DrWeb CureIt. Neinstaluje se a jedine, co dela, je ze posila do Ruska statistiky :)
MP
- Upravený Miroslav PráglModerator úterý 18. září 2018 14:47
-
Pokud to jednou odešle statistiku a ruští osmiletý caparti se na tom nebudou učit provádět hackerské útoky, tak mi to asi nevadí. Ono si teď nevyberu, jestli nechat server posílat něco do světa, nebo odeslat statistiku. Já DrWeb CureIt vyzkouším u sebe nebo nějaké virtuálce a zkusil bych ho potom dát na server a projet.
Ještě mě napadla jedna varianta. Protože my jsme v budově, kde má náš poskytovatel internetu další firmy, jestli tam není nějakej zavšivenej počítač, který by to rozesílal po jejich síti a směrovalo to i k nám na server. To jen bagatelizuji. Uvidíme, jestli náhodou něco ten antispyware objeví.
-
-
-
-
-
My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). Teď jsem koukal do logů serveru a skutečně jsou tam neúspěšné audity...
Čím dál víc se přikláním k tomu, že náš poskytovatel internetu bude mít nějaký bordel v síti nějakej Sasser nebo něco takového. Nebo se naše veřejná IP dostala do nějakého seznamu pro hackery
-
"My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). "
A proboha proč? Koho to napadlo to takto nakonfigurovat?
Pak se vcelku není co divit a zmínky o síti poskytovatele jsou úplně mimo mísu, když máte totálně otevřený server do internetu.
BB
- Označen jako odpověď Miroslav PráglModerator čtvrtek 20. září 2018 13:49
-
Já jsem totiž až do tohoto týdne neměl k tomu Mikrotiku přístup. Teprve když jsem se začal postupně pídit, proč lsass.exe pořád něco odesílá a přijímá, tak potom jsem oslovil našeho poskytovatele, aby mi ten přístup dal (vydupal jsem si to) a zjistil, že úplně veškerý provoz jde na server.
Tím pádem příčina je nejspíš nalezena.
-
-
Já mám firewall přímo na serveru, ale důvěřoval jsem našemu poskytovateli, že on to má ošetřený lépe, než jen všechno pustit k nám. A klidný jsem, páč nejsem firemní ajťák a za tu síť ani nemám zodpovědnost. Je to pouze z mé dobré vůle (a asi z debility :-) ), že jsem se začal zajímat o to, jak tu funguje firemní infrastruktura ;-)
-
Je dobrym zvykem dat mezi posledni zarizeni ISP a moji LAN jeste nejaky MUJ FW.
Ty mas v teto pozici primo Windows server = tim FW je u tebe interni FW serveru plus vsechny vulnerability ve Windows. Neni to uplne idealni.
A nebo, pokud mas s ISP dobre vztahy, se domluvte a na jeho poslednim zarizeni (u tebe mikrotik) nastavte forward jen toho, co opravdu potrebujes. Nicmene nikdy nebudes mit jistotu, ze to tak opravdu nastavil. Navic Mikrotik ma posledni dobou sam spoustu objevenych der. Ma tvuj ISP vsechny patche v Mikrotiku?
- Označen jako odpověď Václav Krátký čtvrtek 20. září 2018 18:58
-
-
-
-
A update mikrotiku !
Je napr. Winbox povoleny z interenetu? Asi ano, aby to ISP snadno spravoval. Pak precist https://blog.mikrotik.com/security/www-vulnerability.html
https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255#p656255
K tomu precist napr. https://www.coresecurity.com/advisories/mikrotik-routeros-smb-buffer-overflow a dalsich X podobnych.
Proste se hackeri zacali zajimat i o jine systemy nez Windows. A ukazuje se, ze MS neni ten nejspatnejsi, jak se s oblibou rika. Maslo na hlave maji vsichni :)