none
WinSrv2016 - lsass.exe - odesílání paketů do internetu

    Dotaz

  • Ahojte, od nějaké doby mi na Windows serveru 2016 proces lsass.exe odesílá pakety (přes UDP port 389) někam do tramtárie a vytěžuje část uploadu internetové linky.

    http://imgWorld.cz/Zmm381VrhI.PNG

    Na serveru je antivirák: Avast Business Security a Windows defender (vše aktualizované),  v procesech nevypadá, že by běžela nějaká cizí havěť.

    Vygooglil jsem, že by mohlo pomoc upravit firewall:

    Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené

    Tohle když jsem nastavil, problém se vyřešil, ale cca po 12 hodinách provozu za jakoby zasekla služba DNS a nešla ani restartovat. Musel jsem restartovat celý server. Nevím, jestli to ale nebyla nějaká souhra náhod.

    Prozatím jsem to vyřešil tak, že jsem v routeru (Mikrotiku) poskytovatele internetu zablokoval odesílání UDP 389 na WAN a teď vidím, že to Mikrotik musí blokovat (za noc cca 1GB dat)

    Chtěl bych ale najít nějaké systémové řešení, jak tohle odesílání zastavit.

    Děkuji za nápady.




    pondělí 17. září 2018 6:59

Odpovědi

  • "My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). "

    A proboha proč? Koho to napadlo to takto nakonfigurovat?

    Pak se vcelku není co divit a zmínky o síti poskytovatele jsou úplně mimo mísu, když máte totálně otevřený server do internetu.


    BB

    čtvrtek 20. září 2018 7:26
  • Je dobrym zvykem dat mezi posledni zarizeni ISP a moji LAN jeste nejaky MUJ FW.

    Ty mas v teto pozici primo Windows server = tim FW je u tebe interni FW serveru plus vsechny vulnerability ve Windows. Neni to uplne idealni.

    A nebo, pokud mas s ISP dobre vztahy, se domluvte a na jeho poslednim zarizeni (u tebe mikrotik) nastavte forward jen toho, co opravdu potrebujes. Nicmene nikdy nebudes mit jistotu, ze to tak opravdu nastavil. Navic Mikrotik ma posledni dobou sam spoustu objevenych der. Ma tvuj ISP vsechny patche v Mikrotiku?

    čtvrtek 20. září 2018 12:49

Všechny reakce

  • Tady je trobleshooting http://zinetek.com/2015/06/23/case-of-unexplained-ldap-requests/

    V jeho pripade to byl Sophos AV. Muzes zkusit stejny postup a zjistit neco presnejsiho.

    pondělí 17. září 2018 8:41
  • Děkuji za tip, program je pěkný, zkusil jsem stejný postup, ale bohužel jsem nic nevyčetl.

    Tady jsou screeny z Process monitoru

    http://imgWorld.cz/s3/HGOQjhYayZ.png

    http://imgWorld.cz/s3/m3bcjJc5gZ.png

    pondělí 17. září 2018 9:54
  • Jak mas nastavene DNS? Jake protokoly a Sluzby jsou povolene z Internetu? Zkousel jsi komunikaci odchytit wiresharkem - je-li napr iniciovana zvenci a pod? Jeste lepe by pomohl ntop.

    Nepouzivas neco v Internetu (Azure …)?

    MP



    pondělí 17. září 2018 10:31
    Vlastník
  • Ve správce DNS mám nastaveno v kolonce "Servery pro předávání" :

    176.12.112.1 a 176.12.112.2 (to je od našeho poskytovatele internetu) a poté ještě tam mám google 8.8.8.8

    Služby zvenčí běží: VPN přes L2TP a SSTP, IIS,  SMTP a Exchange s jeho komponenty pro připojení klientů a jejich mobilů, přesměrování na terminal přes 3389,

    ale koukal jsem, že ve Firewallu je povolena Cortana (tu nepoužíváme) a Azure taky vůbec nepoužíváme.

    pondělí 17. září 2018 12:24
  • Ještě jsem zahlédl ve Firewallu, že tam je povoleno nějaké:

    @{Microsoft.Windows.CloudExperienceHost_10.0.14393.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.CloudExperienceHost/resources/appDescription}

    popis: @{Microsoft.Windows.CloudExperienceHost_10.0.14393.0_neutral_neutral_cw5n1h2txyewy?ms-resource://Microsoft.Windows.CloudExperienceHost/resources/appDescription}

    Je to něco důležitého?


    pondělí 17. září 2018 12:29
  • Mate tak spatne pripojeni, ze musite pouzivat forwarders?

    Jinak klienti I servery pouzivaji JEN AD INTEGRATED DNS SERVERY (v nastaveni TCP/IP)? Nikde se proste neobjevuje internetova adresa (napr. druhy adapter, adresa DNS)?

    MP

    pondělí 17. září 2018 13:21
    Vlastník
  • Já jsem to takhle nastavoval vždycky i na původním starém serveru, kde byly SBS2008, že jsem DNS poskytovatele dával do serveru pro předávání. Nevím, jak bych to ještě jinak nastavil. Druhý síťový adaptér už je odpojený. To jsem právě předělal kvůli té VPN, kdy teď už server běží pouze na jedné síťovce.

    Klienti potom v DHCP používájí DNS právě tohoto našeho serveru, nemají tam nikde DNS poskytovatele internetu nebo googlu..Ale server to odesílá i když jsou všichni klienti odpojeni. Přišel jsem na to v noci. Prozatím to tedy blokuji v tom routeru. Při nejhorším to tak i ponechám, nebo zkusím ještě někdy potom jednou nastavit ten firewall:

    Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené

    Ale bojím se, aby mi potom zase to DNS nezamrzlo.

    pondělí 17. září 2018 13:47
  • Nech svůj DNS server, ať se ptá kořenových DNS. Nepoužívej forwarding dotazů, pokud k tomu opravdu nemáš důvod.

    BB

    pondělí 17. září 2018 13:51
  • Teď možná budu trošku za blbce :-D

    Mám tedy ty DNS servery našeho poskytovatele (176.12.112.1 a 176.12.112.2) přidat do té kolonky "Odkazy na kořenové servery" , nebo tam mám nechat co je defaultně ? Je tam  A.root.servers-net. a pokračuje to dál až po M.root.servers.net.

    kolonka "servery pro předávání" bude tedy úplně prázdná.

    Pochopil jsem to správně?

    pondělí 17. září 2018 14:08
  • Korenove servery nechcipaji. Pokud ano, planuje se to roky dopredu. Pouzivej je!

    Jo to jsi ty s tema dvema sitovkama v serveru? No jestli "WAN" sitovka mela verejnou adresu, ta adresa ti ted smrdi v AD, ale je nedostupna, MUZE to vysvetlovat vse.

    MP


    pondělí 17. září 2018 14:11
    Vlastník
  • Na DNS servery poskytovatele se vykašli. Nechej tam jenom defaultní.

    BB

    pondělí 17. září 2018 14:11
  • Ano, to jsem přesně já. Tak odteď se budu podepisovat dvousíťovkář 😀 Předělání na jednu síťovku VPN pomohlo, ale nedokážu říct, jestli ten problém s odesíláním paketů přes Lsass.exe byl i předtím. Všiml jsem si toho až teď . Nicméně odstranil jsem všechno v serverech pro předávání, běží to tedy na kořenové servery. Restartoval jsem službu DNS, zkusil ipconfig /flushdns .. ale pakety se přes lsass.exe vesele odesílají dál. Takže opět jsem to bloknul na routeru.
    pondělí 17. září 2018 15:26
  • Mrkni se do DNS, jeke IP jsou registrovane v tve AD domene.

    MP

    pondělí 17. září 2018 17:42
    Vlastník
  • Omlouvám se, ale teď přesně nevím, co myslíš. Jestli co mám uvedeno za IP adresy v zóně dopředného vyhledávání, nebo na jakých rozhraní běží DNS, nebo třeba výpis IP adres těch kořenových serverů?

    pondělí 17. září 2018 18:08
  • myslim A a PTR zaznamy v AD zone

    MP

    pondělí 17. září 2018 23:52
    Vlastník
  • Jsou tam jen interní IP adresy s názvem fyzického a virtuálního serveru a poté tam mám jen nastaveno ven:

    autodiscover (Alias CNAME) pro naší veřejnou IP adresu

    a "IS" (Hostitel A) s veřejnou IP adresou, kde máme venku informační systém

    a "www" (Hostitel A) s veřejnou  IP adresou, kde jsou umístěné webovky

    Zóny zpětného vyhledávání obsahuje:

    0.in-addr.arpa -  kde je pouze názvový server - nášserver.domena.cz

    127.in-addr.arpa - tam je názvový server (NS) - nášserver.domena.cz a 127.0.0.1 Ukazatel Pointer (PTR) s Data localhost

    255.in-addr.arpa -opět jen názvový server - nášserver.domena.cz

    Žádné IP adresy například ty, kam lsass.exe odesílá pakety tu nejsou ..

    Asi to udělám tak, že do pátku nechám blokovat UDP 389 na mikrotiku a v pátek zkusím znovu přenastavit ten Firewall:

    Příchozí pravidla - Řadič domény služby AD - LDAP (UDP-In) -> povolit připojení, je-li zabezpečené

    když už je teď upravené to DNS bez  serverů pro předávání, možná to s tímhle pravidlem firewallu bude fungovat v pohodě a během víkendu bych to sledoval, jestli se to ustálilo (že se lsass.exe uklidní s odesíláním paketů) a DNS po několika hodinách nezamrzne.

    úterý 18. září 2018 6:53
  • Mas par IP adres v Internetu, se kterymi se Windows snazi komunikovat? Treba nas neco napadne.

    MP

    úterý 18. září 2018 10:22
    Vlastník
  • Často se to střídá na různé IP, ale rád to pošlu.

    pro snadnější kopírování to ještě vypíšu ručně:

    idc.ly.ha

    59.13.34.50

    5.48.157.175

    121.42.107.138

    114.236.141.163

    121.208.160.125

    77.57.22.193

    Ještě mě napadlo, že na tom serveru jsou nainstalované nějaké procesy přímo od Dellu. Jsou to DDVCollectorSvcApi.exe, DDVDataCollector.exe, DDVRulesProcessor.exe, DSM_BMU_SOLProxy32.exe.

    Ale doufám, že je Dell tak inteligentní a nepoužívá lsass.exe pro odesílání nějakých prkotin do internetu.lsas_vejmrd

    úterý 18. září 2018 12:21
  • Ty adresy nevzbuzuji duveru :(

    Projizdel jsi server v posledni dobe nejakym antimalwarem (treba MBAM scanner)?

    MP

    úterý 18. září 2018 12:56
    Vlastník
  • Já jsem právě důvěřoval Avastu a Windows Defenderu. Mám trochu obavy cokoliv instalovat za programy typu Spybot Search and Destroy nebo Spyware terminator přímo na server. To dávám jen uživatelům na PC. Ale jestli je nějakej opravdu dobrý a budu mít jistotu, že mi neodstřelí nic, tak se nebráním. Můžu se opravdu spolehnout, že ten Malwarebytes Anti-Malware mi neudělá víc škody než úžitku? Přiznám se, neznám ho vůbec.
    úterý 18. září 2018 13:54
  • No kdysi se dal MBAM nainstalovat BEZ REZIDENTNICH OCHRAN, jen se nainstaloval, spustil (po spusteni se aktualizovaly signatury) a spustil se sken.

    Ted se spusti automaticky trial period rezidentni ochrany :(

    Jeste me napada DrWeb CureIt. Neinstaluje se a jedine, co dela, je ze posila do Ruska statistiky :)

    MP



    úterý 18. září 2018 14:25
    Vlastník
  • Pokud to jednou odešle statistiku a ruští osmiletý caparti se na tom nebudou učit provádět hackerské útoky, tak mi to asi nevadí. Ono si teď nevyberu, jestli nechat server posílat něco do světa, nebo odeslat statistiku. Já DrWeb CureIt vyzkouším u sebe nebo nějaké virtuálce a zkusil bych ho potom dát na server a projet.

    Ještě mě napadla jedna varianta. Protože my jsme v budově, kde má náš poskytovatel internetu další firmy, jestli tam není nějakej zavšivenej počítač, který by to rozesílal po jejich síti a směrovalo to i k nám na server. To jen bagatelizuji. Uvidíme, jestli náhodou něco ten antispyware objeví. 

    úterý 18. září 2018 15:12
  • A vy nemáte nijak oddělenou síť od těch ostatních firem? To je přece základ, že si oddělíte sítě a pak je vám úplně jedno, co tam mají ostatní a v jakém stavu.
    úterý 18. září 2018 15:32
  • To já doufám, že to má ošetřený ten poskytovatel. Samozřejmě ostatní počítače nevidím. Tak beru, že to ošetřený je a máme svoji síť (přes NAT v Mikrotiku) s veřejnou IP adresou.
    úterý 18. září 2018 15:38
  • Nejprve mě vyděsilo, co si Dr.Web spustil za procesy, pak mě celkem potěšil...

    Na druhou stranu mě vlastně i naštval, že problém nenašel :-D

    úterý 18. září 2018 18:58
  • No ale jste za NATem a minimem mapovani dovnitr, ne?

    Samozrejme predpokladam, ze logy sluzeb, pristupnych z Internetu, kontrolujes. Nebyly v nich z techto adres pokusy o prihlaseni?

    MP

    středa 19. září 2018 4:55
    Vlastník
  • My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). Teď jsem koukal do logů serveru a skutečně jsou tam neúspěšné audity...

    Čím dál víc se přikláním k tomu, že náš poskytovatel internetu bude mít nějaký bordel v síti nějakej Sasser nebo něco takového. Nebo se naše veřejná IP dostala do nějakého seznamu pro hackery

    čtvrtek 20. září 2018 7:12
  • "My jsme sice za NATem, ale koukal jsem do Mikrotiku, že veškerý provoz na naši veřejnou IP adresu se mapuje na náš server (nejsou tedy vypsané určité porty). "

    A proboha proč? Koho to napadlo to takto nakonfigurovat?

    Pak se vcelku není co divit a zmínky o síti poskytovatele jsou úplně mimo mísu, když máte totálně otevřený server do internetu.


    BB

    čtvrtek 20. září 2018 7:26
  • Já jsem totiž až do tohoto týdne neměl k tomu Mikrotiku přístup. Teprve když jsem se začal postupně pídit, proč lsass.exe pořád něco odesílá a přijímá, tak potom jsem oslovil našeho poskytovatele, aby mi ten přístup dal (vydupal jsem si to) a zjistil, že úplně veškerý provoz jde na server.

    Tím pádem příčina je nejspíš nalezena.

    čtvrtek 20. září 2018 7:44
  • Ty provozuješ síť bez firewallu a nechává Tě to úplně klidným? A pak se ještě divíš?

    BB

    čtvrtek 20. září 2018 7:54
  • Já mám firewall přímo na serveru, ale důvěřoval jsem našemu poskytovateli, že on to má ošetřený lépe, než jen všechno pustit k nám. A klidný jsem, páč nejsem firemní ajťák a za tu síť ani nemám zodpovědnost. Je to pouze z mé dobré vůle (a asi z debility :-) ), že jsem se začal zajímat o to, jak tu funguje firemní infrastruktura ;-) 
    čtvrtek 20. září 2018 8:29
  • Je dobrym zvykem dat mezi posledni zarizeni ISP a moji LAN jeste nejaky MUJ FW.

    Ty mas v teto pozici primo Windows server = tim FW je u tebe interni FW serveru plus vsechny vulnerability ve Windows. Neni to uplne idealni.

    A nebo, pokud mas s ISP dobre vztahy, se domluvte a na jeho poslednim zarizeni (u tebe mikrotik) nastavte forward jen toho, co opravdu potrebujes. Nicmene nikdy nebudes mit jistotu, ze to tak opravdu nastavil. Navic Mikrotik ma posledni dobou sam spoustu objevenych der. Ma tvuj ISP vsechny patche v Mikrotiku?

    čtvrtek 20. září 2018 12:49
  • Jako pokud jeste zijes (tohle je fakt na na masli), dej vedet, kdo a proc to takto nakonfiguroval.

    MP

    P.S. Na druhou stranu - SKVELY TEST BEZPECNOSTI W2016

    čtvrtek 20. září 2018 13:50
    Vlastník
  •  Ma tvuj ISP vsechny patche v Mikrotiku?

    No, o tom asi trochu pochybuji :-) Myslím, že do doby, kdy jsem po něm chtěl veškeré přístupy nevěřím, že by se o Mikrotik někdo staral :-)
    čtvrtek 20. září 2018 18:55
  • Děkuji ti za reakce a rady. Jak jsem psal, neměl jsem přístup do toho Mikrotiku a dozvěděl jsem se to všechno až jsem začal i otravovat poskytovatele internetu. Každopádně další krok bude nastavení jen opravdu používaných portů.
    čtvrtek 20. září 2018 18:58
  • A update mikrotiku !

    Je napr. Winbox povoleny z interenetu? Asi ano, aby to ISP snadno spravoval. Pak precist https://blog.mikrotik.com/security/www-vulnerability.html
    https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255#p656255

    K tomu precist napr. https://www.coresecurity.com/advisories/mikrotik-routeros-smb-buffer-overflow a dalsich X podobnych.

    Proste se hackeri zacali zajimat i o jine systemy nez Windows. A ukazuje se, ze MS neni ten nejspatnejsi, jak se s oblibou rika. Maslo na hlave maji vsichni :)

    pátek 21. září 2018 6:11