Forum » Pomoč in nasveti » Napad po mreži?
Napad po mreži?
MrStein ::
Danes sem pustil PC za nekaj uric in ko sem se vrnil, je bilo čudno.
Detajli:
- laufa Windows XP, Skype in uTorrent (oba minimizirana)
- zaklenem (torej kaže welcome screen, z mojo ikono ("Logged on") in še drugi uporabnik)
- mine nekaj uric
- pridem nazaj, slika še ista
- se prijavim
1.) Ne duha ne sluha o Skype in uTorrent.
2.) V Event logu nekaj sumljivih vnosov:
- Event ID 4226, Tcpip "TCP/IP has reached the security limit imposed on the number of concurrent (incomplete) TCP connect attempts."
- čez 15 minut še enkrat 4226
- čez 3 minute : Event ID 1006 , TermService "The terminal server received large number of incomplete connections. The system may be under attack"."
- čez 25 minut : Event ID 4226
- čez 60 minut : Event ID 4226
- čez 6 minut : Event ID 4201, Tcpip (tale je Info, ni error ali warning) "adapter was connected to network..."
- čez 30 minut : Event ID 6009, EventLog - zapisi o bootanju, zgleda, da se je restartal
- čez 70 minut : Event ID 1006 , TermService "The terminal server received large number of incomplete connections. The system may be under attack"."
Restart je sumljiv. Priklopljeno imam namreč preko USB zunanji disk, kar zelo zmede BIOS med boot-om.
Preprosto povedano: če je ta disk priklopljen, BIOS zmrzne med (pred) boot-om.
Help!??!?
Detajli:
- laufa Windows XP, Skype in uTorrent (oba minimizirana)
- zaklenem (torej kaže welcome screen, z mojo ikono ("Logged on") in še drugi uporabnik)
- mine nekaj uric
- pridem nazaj, slika še ista
- se prijavim
1.) Ne duha ne sluha o Skype in uTorrent.
2.) V Event logu nekaj sumljivih vnosov:
- Event ID 4226, Tcpip "TCP/IP has reached the security limit imposed on the number of concurrent (incomplete) TCP connect attempts."
- čez 15 minut še enkrat 4226
- čez 3 minute : Event ID 1006 , TermService "The terminal server received large number of incomplete connections. The system may be under attack"."
- čez 25 minut : Event ID 4226
- čez 60 minut : Event ID 4226
- čez 6 minut : Event ID 4201, Tcpip (tale je Info, ni error ali warning) "adapter was connected to network..."
- čez 30 minut : Event ID 6009, EventLog - zapisi o bootanju, zgleda, da se je restartal
- čez 70 minut : Event ID 1006 , TermService "The terminal server received large number of incomplete connections. The system may be under attack"."
Restart je sumljiv. Priklopljeno imam namreč preko USB zunanji disk, kar zelo zmede BIOS med boot-om.
Preprosto povedano: če je ta disk priklopljen, BIOS zmrzne med (pred) boot-om.
Help!??!?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
denial ::
Event ID 4226 je znan in se pojavi ko tcpip.sys ne more shendlat vseh requestov (TCP connection limit). Pri uporabi Torrenta se to pogosto dogaja.
Očitno laufaš RDP, torej je možno, da je kakšen botek trkal na RDP port in mogoče(?) je payload sesul mašino.
Če se je mašina skrešala pol imaš v c:\windows\minidump .dmp fajl kreša. Naloži WinDbg, uvozi .dmp fajl v debugger in poženi Analyze -v. Če tega fajla ni potem je šlo za "normalen" soft-reboot.
Poglej malce skoz loge ali so se ti Evend ID-ji pojavljali tudi prej.
Just my 5 cents.
Očitno laufaš RDP, torej je možno, da je kakšen botek trkal na RDP port in mogoče(?) je payload sesul mašino.
Če se je mašina skrešala pol imaš v c:\windows\minidump .dmp fajl kreša. Naloži WinDbg, uvozi .dmp fajl v debugger in poženi Analyze -v. Če tega fajla ni potem je šlo za "normalen" soft-reboot.
Poglej malce skoz loge ali so se ti Evend ID-ji pojavljali tudi prej.
Just my 5 cents.
SELECT finger FROM hand WHERE id=3;
Zgodovina sprememb…
- spremenil: denial ()
MrStein ::
Ni minidump.dmp fajla, je pa mapa Minidump. Vsi vnosi so starejši.
4226 zdaj vidim, da je bil prej tudi. Sem očitno pozabil limit v Windows dvignit.
RDP overload pa je bil enkrat dvakrat v prejšnjih dnevih tudi.
Najbolj sumljiv je reboot, ker kot pravim, če je USB HD priklopljen, glupi BIOS hoče z njega bootat, pa ne gre in pol napiše nekaj ala REPLACE SYSTEM DISK AND PRESS ENTER.
Sumljivo malo...
Zdaj sicer preverjam za viruse (CureIT, SpyBot, MBAM, Avira) in še nič ni našlo.
Avira sicer nekaj je, ampak med tekom testa ne piše nič detajlev (sux), tako da še ne vem. Mogoče samo jamra čez nc, pwdump ipd...
4226 zdaj vidim, da je bil prej tudi. Sem očitno pozabil limit v Windows dvignit.
RDP overload pa je bil enkrat dvakrat v prejšnjih dnevih tudi.
Najbolj sumljiv je reboot, ker kot pravim, če je USB HD priklopljen, glupi BIOS hoče z njega bootat, pa ne gre in pol napiše nekaj ala REPLACE SYSTEM DISK AND PRESS ENTER.
Sumljivo malo...
Zdaj sicer preverjam za viruse (CureIT, SpyBot, MBAM, Avira) in še nič ni našlo.
Avira sicer nekaj je, ampak med tekom testa ne piše nič detajlev (sux), tako da še ne vem. Mogoče samo jamra čez nc, pwdump ipd...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Izredno počasen brskalnik ?!Oddelek: Omrežja in internet | 1949 (1322) | clemense |
| » | Občasne težave z Buffalo routerjemOddelek: Omrežja in internet | 1297 (1146) | Pyr0Beast |
| » | utorrent blokira ves promet - vista sp1Oddelek: Omrežja in internet | 3129 (2788) | kumer |
| » | Prepocasen internet (FF, IE, Opera)Oddelek: Omrežja in internet | 1094 (965) | kocba |
| » | Zelo počasi odpira strani, ko imam prizgan p2p (čeprav vlece p2p samo 20kB/s)Oddelek: Omrežja in internet | 2287 (1994) | M-XXXX |