Scusate ragazzi, non so se sia "normale" la cosa a dire il vero ma ad ogni modo onde evitare di fare cazzate chiedo un po' a voi.
Abbiamo qui in azienda un server Exchange che, per lo meno oggi, sta' sparando in media 2/3 richieste Netbios in broadcast verso nomi che, nel nostro standard di nomenclatura non hanno alcun significato.
Nella fattispecie, ad esempio, vengono lanciate query verso:
REAM, EXCAVATE, MYTH, ASTRINGENT, FERRUGINOUS, MCELROY, FIREMEN, MOULTON, ZOOM, NRC, IRRESORVABLE...
e così tanti altri da farmi pensare a "Male con Dizionario".
Qualcuno saprebbe dirmi se la cosa sia normale o, eventualmente, dove trovare informazioni per risolvere il problema (Se è da risolvere, e in modo diverso dal chiudere la porta Nb sul server)?
Danke!
Exchange 2003 & NBNS Broadcast "storm"
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Mi sembra tanto un virus...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
Eh infatti a me sembra tanto qualcuno/osa che cerca con un file dizionario di beccare qualche nome netbios in giro per la rete.
Solo che non sapendo una cippa di Active Directory & compagnia mi sembra "brutto" lanciare allarmi.
Purtroppo pero' la technet di Mariosoft non mi aiuta....e neanche quei dannati di SysAdmin.it...e pure qua il tutto langue!
Non avendo neanche un ambiente di test non posso neanche tirarmi su una architettura parallela ed isolata per vedere se il comportamento sia lo stesso.
Solo che non sapendo una cippa di Active Directory & compagnia mi sembra "brutto" lanciare allarmi.
Purtroppo pero' la technet di Mariosoft non mi aiuta....e neanche quei dannati di SysAdmin.it...e pure qua il tutto langue!
Non avendo neanche un ambiente di test non posso neanche tirarmi su una architettura parallela ed isolata per vedere se il comportamento sia lo stesso.
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
E da cosa te ne sei accorto? Questo server ha un antivirus? Hai provato a metterci ethereal sopra?!k4mik4ze ha scritto: Abbiamo qui in azienda un server Exchange che, per lo meno oggi, sta' sparando in media 2/3 richieste Netbios in broadcast verso nomi che, nel nostro standard di nomenclatura non hanno alcun significato.
Manipolatore di bit.
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
Ci ho messo su uno sniffer della Mariosoft, e in più essendo in broadcast le ho potute controllare anche dalla mia postazione 
Appena mi si schioda vmware (ogni tanto blocca ctrl-alt-ins e non riesco piu' a loggare) vado a controllare il resto.
Comunque sia dovrebbe esserci Symantec Antivirus + Exchange 2003 e basta.
Appena mi si schioda vmware (ogni tanto blocca ctrl-alt-ins e non riesco piu' a loggare) vado a controllare il resto.
Comunque sia dovrebbe esserci Symantec Antivirus + Exchange 2003 e basta.
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Come dice Andrea posta una sezione di cattura di Wireshark (il nuovo etheral) solo così puoi sapere cosa sta realmente succedendo.
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
EDIT:
###############################################
Iniziamo a parlare in maniera un po' piu' seria e "posata" dell'architettura e del problema.
#Nomenclatura
Exchange -> Server Exchange 2003 Virtualizzato
Main -> Windows Server 2003 (ospita il server Exchange in questione su macchina virtuale)
#Sintomatologia
Email di spam a nastro: 10000 circa in una nottata, un migliaio ogni paio d'ore.
#Visibile
su Exchange -> Scheda "esterna"
Connessioni SMTP in ingresso da 58.243.0.60 (Il sito coreano).
Connessioni IN/Out con il Virtual Server SMTP
Su Main invece risultano solamente connessioni in ingresso da localhost a "indirizzo privato della macchina virtuale"
header di una mail di spam d'esempio:
##############################################
Come soluzione al momento ho solo quella di bloccare "fisicamente" l'accesso dal dato ip alla macchina in questione, ma preferirei una soluzione un po' piu' "fine", come si suol dire: anche perchè questa non andrebbe a risolvere la vulnerabilità.
Nel frattempo, a proposito dell'evoluzione del problema, la broadcast storm è cessata da una giornata, ed ora le richieste netbios sono dirette verso un unico dominio "MD".
PS: se possibile, eviterei di postare capture perchè all'interno della stessa sono presenti nomi/ip/zzivari che a pulirli ci metterei un po' di tempo
. Se proprio non se ne riuscira' a venire a capo senza vedro' di postare quanto prima dei log "ripuliti" dalle informazioni sensibili.
###############################################
Iniziamo a parlare in maniera un po' piu' seria e "posata" dell'architettura e del problema.
#Nomenclatura
Exchange -> Server Exchange 2003 Virtualizzato
Main -> Windows Server 2003 (ospita il server Exchange in questione su macchina virtuale)
#Sintomatologia
Email di spam a nastro: 10000 circa in una nottata, un migliaio ogni paio d'ore.
#Visibile
su Exchange -> Scheda "esterna"
Connessioni SMTP in ingresso da 58.243.0.60 (Il sito coreano).
Connessioni IN/Out con il Virtual Server SMTP
Codice: Seleziona tutto
TCP XX.XX.25.20:25 58.243.0.60:1312 ESTABLISHED 1468
TCP XX.XX.25.20:25 58.243.0.60:1239 TIME_WAIT 0
header di una mail di spam d'esempio:
Codice: Seleziona tutto
x-sender: [email protected]
x-receiver: [email protected]
x-receiver: [email protected]
x-receiver: [email protected]
x-receiver: [email protected]
x-receiver: [email protected]
Received: from DM ([58.243.0.60] RDNS failed) by miodominio.com with Microsoft SMTPSVC(6.0.3790.3959);
Wed, 11 Feb 2009 16:27:30 +0100
Received: from norwich-waddle.themitchellfamily.freeserve.co.uk (HELO Delldim5150) ([77.43.25.20]) by bequest-adhesive.themitchellfamily.freeserve.co.uk with ESMTP; Wed, 11 Feb 2009 21:20:45 +0600
Date: Wed, 11 Feb 2009 21:25:45 +0600
From: "psyllium" <[email protected]>
To: [email protected]
Cc: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
Subject: Physician Contact List in the USA
Message-ID: <775282u5ejz0$k6386rm0$7855r6f0@Delldim5150
MIME-Version: 1.0
Content-type: text/plain; charset=US-ASCII
Priority: normal
Return-Path: [email protected]
X-OriginalArrivalTime: 11 Feb 2009 15:27:31.0152 (UTC) FILETIME=[4142E500:01C98C5D]
X-SCL: 8 83.43%
Come soluzione al momento ho solo quella di bloccare "fisicamente" l'accesso dal dato ip alla macchina in questione, ma preferirei una soluzione un po' piu' "fine", come si suol dire: anche perchè questa non andrebbe a risolvere la vulnerabilità.
Nel frattempo, a proposito dell'evoluzione del problema, la broadcast storm è cessata da una giornata, ed ora le richieste netbios sono dirette verso un unico dominio "MD".
PS: se possibile, eviterei di postare capture perchè all'interno della stessa sono presenti nomi/ip/zzivari che a pulirli ci metterei un po' di tempo
. Se proprio non se ne riuscira' a venire a capo senza vedro' di postare quanto prima dei log "ripuliti" dalle informazioni sensibili.-
ep
- Network Emperor
- Messaggi: 260
- Iscritto il: sab 06 dic , 2008 11:36 am
Con lo spam è un altro discorso… sono abbastanza digiuno di Windows, ma azzardo un'ipotesi: le richieste sparate in broadcast erano mica termini che comparivano anche nella mail, ad esempio negli HELO riportati negli header?
Come soluzione ti posso suggerire di dire ad Exchange che deve usare le RBL per identificare gli IP spammatori e non accettare mail da loro. Ad esempio, su robtex vedo che l'IP che ti spamma è correttamente identificato da Spamcop, per cui potresti configurare alcune RBL tra cui Spamcop.
Ciao!
Come soluzione ti posso suggerire di dire ad Exchange che deve usare le RBL per identificare gli IP spammatori e non accettare mail da loro. Ad esempio, su robtex vedo che l'IP che ti spamma è correttamente identificato da Spamcop, per cui potresti configurare alcune RBL tra cui Spamcop.
Ciao!
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Non per farmi gli affari tuoi,ma o il Server è stato bucato o ha un "virus" o accetta tutto da tutti......diciamo che un affinamento dovrebbe rendersi necessario,ti pare?
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
Accettare tutto da tutti, credo di no.
Sul "bucato" potrei anche metterla come ipotesi.
Non me la sento di dare garanzie riguardo la sicurezza della rete in questione (più che altro perchè non ho nè abbastanza esperienza per dare giudizi sicuri in poco tempo, nè abbastanza documentazione). Di per contro pero', nel caso fosse un attacco "human-based" non credo che ci sarebbe stato il primo giro di "dizionario" per un paio di giorni....o no?
....chiamata...torno tra un po'.
Sul "bucato" potrei anche metterla come ipotesi.
Non me la sento di dare garanzie riguardo la sicurezza della rete in questione (più che altro perchè non ho nè abbastanza esperienza per dare giudizi sicuri in poco tempo, nè abbastanza documentazione). Di per contro pero', nel caso fosse un attacco "human-based" non credo che ci sarebbe stato il primo giro di "dizionario" per un paio di giorni....o no?
....chiamata...torno tra un po'.
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Guarda, il fatto di bloccare l'IP incriminato,non penso che sia da considerare la soluzione definitiva.Se l'attacante decide di cambiare IP??
Controlla che il Server possa accettare connessioni SMTP solo da chi effetivamente le deve accettare(se è il caso di un Server dedicato ).Se è un Server condiviso,sicuramente pretenderà l'autenticazione,controlla che non ci sia qualche account che sia stato "bucato".
Sinceramente propenderei per un "Virus" anche se in tal caso avresti dovuto avere connessioni da + indirizzi IP.Scansioni Antivirus ne hai fatte?
Per esperienza,un problema non affrontato fino in fondo,è un problema non risolto...prima o poi ci dovrai risbattere la testa..
Controlla che il Server possa accettare connessioni SMTP solo da chi effetivamente le deve accettare(se è il caso di un Server dedicato ).Se è un Server condiviso,sicuramente pretenderà l'autenticazione,controlla che non ci sia qualche account che sia stato "bucato".
Sinceramente propenderei per un "Virus" anche se in tal caso avresti dovuto avere connessioni da + indirizzi IP.Scansioni Antivirus ne hai fatte?
Per esperienza,un problema non affrontato fino in fondo,è un problema non risolto...prima o poi ci dovrai risbattere la testa..
-
k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
...e infatti il giorno dopo è tornato all'attacco da un altro ip, ribloccato e da allora non si è fatto più sentire.
Ad ogni modo il problema permane e non si riesce a capire affatto chi/come faccia ad accedere. Mi sa che mi tocca mettermi un giorno "da fuori" a fare dei test un po' piu' seri, qui dall'interno non son riuscito a cavare un ragno dal buco.
Ad ogni modo il problema permane e non si riesce a capire affatto chi/come faccia ad accedere. Mi sa che mi tocca mettermi un giorno "da fuori" a fare dei test un po' piu' seri, qui dall'interno non son riuscito a cavare un ragno dal buco.
