我有一个Windows Server 2008框作为域控制器运行。 我注意到在我的思科ASA防火墙日志中,这个盒子不断地向外部主机发送TCP端口445上的请求(如每秒千个请求)。 我已经努力否认这个出站stream量上网(使用ASA),但是我希望这些请求根本不会发生。 我曾尝试通过NetBIOS禁用TCP / IP。 我甚至在箱子上打开了Windows Advanced Firewall来阻止出站445,但是ASA仍然检测到这个特定的stream量。 我有其他的DC和类似的盒子,其行为与盒子不一样。
这是正常的吗? 有没有办法阻止这种垃圾邮件? 我被感染了吗?
在我拒绝我的防火墙之前,它正在发送到互联网上的IP地址。 在syslog中,它看起来像:
4 Jun 01 2010 07:50:36 106023 192.168.50.15 59890 38.250.160.20 445 Deny tcp src inside:192.168.50.15/59890 dst outside:38.250.160.20/445 by access-group“OUTSIDE-OUT”[0xb2cd162d,0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59808 37.216.197.51 445 Deny tcp src inside:192.168.50.15/59808 dst outside:37.216.197.51/445 by access-group“OUTSIDE-OUT”[0xb2cd162d,0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59853 158.105.129.67 445 Deny tcp src inside:192.168.50.15/59853 dst outside:158.105.129.67/445 by access-group“OUTSIDE-OUT”[0xb2cd162d,0x0] 4 Jun 01 2010 07:50:36 106023 192.168.50.15 59811 69.158.49.125 445 Deny tcp src inside:192.168.50.15/59811 dst outside:69.158.49.125/445 by access-group“OUTSIDE-OUT”[0xb2cd162d,0x0]
谢谢你的宇宙。
ķ。 这是一种病毒。