none
probs с релеем RRS feed

  • Общие обсуждения

  • У меня закрытый релей с разрешённым доступом для трех серверов, адреса статические, отметка о разрешении подключаться после успешной идентификации снята. Два дня назад появились badmails, и прошли четыре мощные атаки на почтовый сервер, две на приём, две на передачу, с "левыми" адресами, но с моим доменным именем. Сегодня обнаружил в релеях: 59.35.2.147, который разрешается как 147.2.35.59.broad.st.gd.dynamic.163data.com.cn. Антивирусы молчат. Его, конечно я забил, как в RRAS, так и в IIS. Сменил все пассворды. 

    Как такое могло произойти?

    19 декабря 2007 г. 23:12

Все ответы

  • И что? Ни у кого никаких идей?

    Анализировал логи SMTP, SMS и IIS6, данные AV в 4 родственных сетях. Всё чисто, за исключением одной WS, где "сидел" китайский червь, и с которой был удалённый сеанс по ремуту через новый Remote Desktop Connector для WinXP с DC. Требовалось обеспечить доступ к архиву одной из программ, на тот момент машина была чистой, заражение состоялось несколькими часами позже. Пассворд на той машине не сохранялся. Эта WS работает с почтой через Web-доступ на публичном сервере. В логах SMTP сервера той сети - чисто. То есть "слив" ушёл по 80...

    Т.ч. надо бы посмотреть специалистам от MS, кажется, что в этом новом интерфейсе RDC есть "дыра". И неплохо было бы предусмотреть логирование 3389 порта. Это кажется уже насущная проблема.   

    24 декабря 2007 г. 8:32
  •  

    Не очень понятно что такое AV у вас. Вообще-то если сервер смотрит в Интернет, то на него надо ставить фаэрвол и уже его средствами разрешать доступ по портам и адресам.
    25 декабря 2007 г. 14:41
    Модератор
  • AV - Symantec AV Corp 10. Firewall - RRAS Win2003 SP2. В сетке, где был "китаец" - Symantec AV Corp 9. Firewall - RRAS Win2003 SP2. На "слив" сработала рабочая станция под русским виндом XP SP2, получающая апдейты автоматом, и имеющая не очень путёвого юзера: начальница и требует быть Админом на "собственном" компьютере, ставит, что попало, и постоянно пасётся на какой-то бирже, из-за чего у неё резко занижен уровень security для её браузера. Я, конечно, тоже лоханулся, надо было пройти к серваку и выйти на RDC с него, но, видимо, было в "лом". В итоге заполучил по самые помидоры.

    Но, вирус обнаружен и уничтожен спустя 2 часа 42 мни 30 сек после сеанса... Это обстоятельство меня очень настораживает. В данный момент я вообще не пользуюсь RDC, до полного выяснения обстоятельств. НЕ МОГ ВИРУС ПРОПИСАТЬ ДОСТУП В SMTP! ЭТО МОЖНО СДЕЛАТЬ ТОЛЬКО ВРУЧНУЮ! 

    25 декабря 2007 г. 16:25
  •  NightWanderer3 написано:

    В данный момент я вообще не пользуюсь RDC, до полного выяснения обстоятельств. НЕ МОГ ВИРУС ПРОПИСАТЬ ДОСТУП В SMTP! ЭТО МОЖНО СДЕЛАТЬ ТОЛЬКО ВРУЧНУЮ! 

     

    1. IIS легко конфигурируется программно, например, через скрипты.

    2. Любой протокол можно упаковать в IPSec, в том числе RDP

     

    26 декабря 2007 г. 8:04
    Модератор
  • При входе через IIS остались бы логи, а их нет. У меня выставлен полный пакет... Исполнение скриптов для пользователя Quest -  запрещено, и в любом случае логгируется. Это же 80 и 443 порт... Т.ч. изменение настроек IIS не этих лапок дело. А вот логгирования доступа по RDC - нет. Мне кажется, что бобик там зарыт. IMHO (зы диплом MCSE у меня есть, от 2002 года, из Испании, с этой системой дружу с 2001 года, такой проколище в первый раз)

    26 декабря 2007 г. 16:18