Connessione sulla porta 3387 Il visualizzatore eventi dice "autorizzato"

5

Questo evento si presenta più volte in un minuto come se fosse stato forzato brutalmente, ma dice "autorizzato". La mia domanda è: c'è comunque che posso vedere tutti i comandi che provengono da questa connessione? Ho controllato i miei registri e i miei file modificati in quella data, ma non ho trovato nulla di conclusivo. Il sistema verrà presto cancellato, quindi tutto ciò che vale la pena esaminare prima del wipe sarebbe utile per riferimenti futuri. Ho avuto la mia VPN aperta alla rete per l'accesso temporaneo se qualcuno si chiedesse come sono arrivati alla porta in primo luogo.

Modifica

Vorrei ringraziare tutti di nuovo per l'aiuto con il rappresentante di pubblicare le foto, voi ragazzi rock, anche chiunque abbia avuto il tempo di vedere l'argomento grazie anche a voi.

Modifica

TornaalVisualizzatoreeventivedendoipatternchenonhonotatoilprimoround.

Hackiniziatoalle11/28@1:35

Il TerminalServices-RemoteConnectionManager mostra il primo registro alle 17:17

Ho notato che USER32 riavvia il sistema subito dopo l'interruzione dei criteri di gruppo, quindi il visualizzatore eventi viene arrestato:

Continua a guardare tutti gli accessi registrati dal computer. Quindi un mucchio di processi di gestione controllo servizi.

Winhttproxy viene eseguito dopo un paio di volte, quindi ho controllato le impostazioni del proxy:

AltririsultatiArrestianomalidelflash:

Onestamente, non so cosa fare dell'incidente, se si trattasse di un exploit per il flash o solo di una normale instabilità del flash.

Farò un VHD stasera e molto probabilmente pulirò la macchina. Se qualcuno vede qualcosa o ha domande o impostazioni che vorrebbero che controlli, sarebbe fantastico. Questa è una buona esperienza di apprendimento, quindi qualsiasi input è ben accetto.

    
posta Rick Alvarez 05.12.2012 - 17:17
fonte

2 risposte

1

Sfortunatamente, questa è una vulnerabilità nota. La porta 3387 può essere utilizzata per causare attacchi di tipo Denial of Service eseguendo codice di exploit remoto o da Trojan. È un punto caldo. Questo dovrebbe essere chiuso per impostazione predefinita (Windows). Questa è una comunicazione basata su udp o tcp. Il protocollo è conosciuto principalmente come backroomnet (utilizzato anche da altri servizi). Le porte aperte possono essere trovate con netstat -ano. Il pid associato sarà utile per identificare il processo. Altri registri indicano anche un DoS.

    
risposta data 24.01.2013 - 02:42
fonte
0

è difficile dire esattamente che cosa sta succedendo senza vedere il traffico che passa attraverso la rete. la mia prima ipotesi sarebbe un buffer overflow seguito da una sorta di software eseguibile. Se possibile, eseguire un'acquisizione di pacchetti tramite wireshark (software gratuito). quando vedi di nuovo l'attività, prendi nota del tempo. salva la cattura. Idealmente, si avrà la cattura già in esecuzione quando la sessione inizierà ad avere una sessione completa.

C'è un modo per inviare messaggi privati qui? supponendo che sia possibile, ti darò il mio indirizzo email se ti serve aiuto per analizzare il dump di TCP. Sono sempre interessato a vedere cosa fanno le persone.

    
risposta data 16.01.2013 - 08:36
fonte

Leggi altre domande sui tag