DC server integrato con DNS che tenta di contattare il nome host DNS in blacklist

0

Hai bisogno di aiuto per capire sotto attacco.

I log sottostanti sono estratti dal firewall e potrei vedere una connessione in uscita dal server LDAP a 194.169.218.42. Ma camminando tra i registri (indicati di seguito) è possibile vedere DNS hostname martinhot.xyz Questo dominio DNS ha diversi IP (93.158.205.211) ed è inserito nella lista nera da quasi tutti i feed di minacce. è questo tipo di attacco? Perché il mio server LDAP è in contatto con questo dominio?

<13>Sep 13 07:29:13 10.30.130.7 13Sep2016 07:29:13 monitor 10.x.x.x product: New Anti Virus; src: LDAp IP; s_port: 54661; dst:
194.169.218.42; service: 53; proto: udp; rule: ;Confidence Level: 5;Destination DNS Hostname: martinhot.xyz;Protection Type: DNS reputation;Protection name: Malware.ytire;Source OS: Windows;Suppressed logs: 4;__policy_id_tag: product=VPN-1 & FireWall-1[db_tag={79357CCC-7962-D34A-B8E9-BED995AEA705};mgmt=SecurityManager.com;date=1473679193;policy_name=Col_fw];action_details:
*** Confidential ***;description: Connection was allowed because background classification mode was set. See sk74120 for more information.;has_accounting: 0;i/f_dir: outbound;i/f_name: eth0;log_id: 2;malware_action: Malicious DNS request;malware_family: Malware;malware_rule_id: {00000040-0096-004E-9D42-F129618FF42F};origin_sic_name: ;protection_id: 0020287A0;received_bytes: 0;scope: 10.25.165.254;sent_bytes: 0;session_id: <57d7e309,00000022,0bfc190a,c0000002>;severity: 3;snid: 7951c679;src_machine_name: *** Confidential ***;src_user_name: *** Confidential ***;user: *** Confidential ***;vendor_list: Check Point ThreatCloud, ;

Quindi il mio server LDAP sta contattando il server DNS che è nella lista nera. Come è questo.
Dovrei essere preoccupato?

    
posta MS Guy 13.09.2016 - 14:55
fonte

1 risposta

1

Se il server LDAP è in realtà un controller di dominio Active Directory, verrà installato un server DNS in bundle. Per impostazione predefinita, anche la risoluzione ricorsiva è abilitata.

Molti amministratori di Windows inoltre impostano questo server DNS come predefinito sui client in quanto è il modo più semplice per i nomi DNS dei domini da raccogliere senza delega.

Probabilmente stai vedendo che il server DNS risolve il dominio per uno dei client.

Mentre il server DNS può essere configurato per registrare ogni risoluzione, non è molto efficiente. Quindi il modo migliore per scoprire quali sono i client è cercare le connessioni IP che vengono restituite da DNS.

    
risposta data 13.09.2016 - 19:18
fonte

Leggi altre domande sui tag