none
SCOM management server大量扫描监控以外机器的445port RRS feed

  • 问题

  • SCOM management server自动大量去扫描监控以外的445port。

    不知什么原因?

    是否跟病毒有关呢?

    如下图:



    2020年1月9日 4:08

全部回复

  • Hi Carson,
     
    从您的描述来看,有流量显示我们SCOM Server有发起到一些计算机的445流量。如果我的理解有误,请告知。

    据我所知,如果不是监控的Agent,那有可能是有Agent discovery 和 installation 行为发生。请确认问题发生时,我们是否有在做Agent Discovery 的操作。如果不是,我们可以通过抓Netmon网络日志包和Process Monitor 日志来看具体是哪个进程执行的。同时我们可以看Event Log在那个时间点有没有什么相关日志。
     
    希望以上信息对您有帮助。
     
    祝您工作愉快!
     
    Best regards.
    Crystal


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月10日 1:36
  • Hi Crystal,

    1.问题发生时,没有做Agent discovery的操作。

    2.event log也没有相关信息,因为SCOM本身没有发现有问题。

    3.现在客户怕是勒索病毒,网络禁用掉了。也没办法复现问题。

    4.你能否提一个具体点的解决方案?

    Thanks!

    2020年1月10日 2:56
  • Hi Carson,
     
    关于您提到的勒索病毒,它是针对SMB v1漏洞进行的攻击,您可以把环境中的机器打上最新补丁来预防此问题,详细信息您可以参考以下文章:

    https://support.microsoft.com/en-us/help/4013389/title

    https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010?redirectedfrom=MSDN

     
    于此同时,您也可以用杀毒软件,进行杀毒,看是否有病毒产生。
     
    关于我们的问题,目前也没法重现,这种情况很难判断问题来源,我这边最近在环境下也做下测试,看下如果不装Agent,  SCOM Server会不会往这些机器发SMB 流量。有什么进展,我再告知您。
     
    Best regards.
    Crystal

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月10日 10:01
  • Hi Carson,

    从上周五到今天抓的网络包来看,包中并未抓到SCOM访问未安装SCOM agent 445端口的流量包。由此可以判断,这个不是SCOM 服务器的默认行为。

    建议您进行杀毒并把环境中机器系统更新到最新来预防一些已知病毒造成的影响。另外,像这样的情况建议您开启Premier case来提供更针对的处理。

    Best regards.

    Crystal



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月14日 7:10
  • 明白,我也觉得理论上也是不太可能去Scan以外的机器。 可是在网络防火墙得到日志都证明了是由SCOM server IP 过去的,导致这种现像没办法解释。所以不知该怎么跟客户讲好。第一次遇到这种问题。不知安装的第三方管理包会不会导致这样的问题呢?比如 安装 了:Dell R 740,Hp oneview和存储管理包等。

    Thanks

    Carson

    2020年1月14日 8:04
  • Hi Carson,
     
    理论上不会,但不确定三方管理包是如何写的,不排除有这种可能,可以尝试卸载一个做测试看一下是否相关。
     
    Best regards.
    Crystal

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月14日 8:50