CiscoForums.it

Scusate ragazzi, non so se sia "normale" la cosa a dire il vero ma ad ogni modo onde evitare di fare cazzate chiedo un po' a voi.

Abbiamo qui in azienda un server Exchange che, per lo meno oggi, sta' sparando in media 2/3 richieste Netbios in broadcast verso nomi che, nel nostro standard di nomenclatura non hanno alcun significato.

Nella fattispecie, ad esempio, vengono lanciate query verso:
REAM, EXCAVATE, MYTH, ASTRINGENT, FERRUGINOUS, MCELROY, FIREMEN, MOULTON, ZOOM, NRC, IRRESORVABLE...

e così tanti altri da farmi pensare a "Male con Dizionario".

Qualcuno saprebbe dirmi se la cosa sia normale o, eventualmente, dove trovare informazioni per risolvere il problema (Se è da risolvere, e in modo diverso dal chiudere la porta Nb sul server)?

Danke!

Mi sembra tanto un virus...

Eh infatti a me sembra tanto qualcuno/osa che cerca con un file dizionario di beccare qualche nome netbios in giro per la rete.

Solo che non sapendo una cippa di Active Directory & compagnia mi sembra "brutto" lanciare allarmi.

Purtroppo pero' la technet di Mariosoft non mi aiuta....e neanche quei dannati di SysAdmin.it...e pure qua il tutto langue!

Non avendo neanche un ambiente di test non posso neanche tirarmi su una architettura parallela ed isolata per vedere se il comportamento sia lo stesso.

k4mik4ze ha scritto: Abbiamo qui in azienda un server Exchange che, per lo meno oggi, sta' sparando in media 2/3 richieste Netbios in broadcast verso nomi che, nel nostro standard di nomenclatura non hanno alcun significato.

E da cosa te ne sei accorto? Questo server ha un antivirus? Hai provato a metterci ethereal sopra?!

Ci ho messo su uno sniffer della Mariosoft, e in più essendo in broadcast le ho potute controllare anche dalla mia postazione

Appena mi si schioda vmware (ogni tanto blocca ctrl-alt-ins e non riesco piu' a loggare) vado a controllare il resto.

Comunque sia dovrebbe esserci Symantec Antivirus + Exchange 2003 e basta.

Come dice Andrea posta una sezione di cattura di Wireshark (il nuovo etheral) solo così puoi sapere cosa sta realmente succedendo.

EDIT:
###############################################

Iniziamo a parlare in maniera un po' piu' seria e "posata" dell'architettura e del problema.

#Nomenclatura
Exchange -> Server Exchange 2003 Virtualizzato
Main -> Windows Server 2003 (ospita il server Exchange in questione su macchina virtuale)


#Sintomatologia
Email di spam a nastro: 10000 circa in una nottata, un migliaio ogni paio d'ore.


#Visibile
su Exchange -> Scheda "esterna"
Connessioni SMTP in ingresso da 58.243.0.60 (Il sito coreano).
Connessioni IN/Out con il Virtual Server SMTP
Su Main invece risultano solamente connessioni in ingresso da localhost a "indirizzo privato della macchina virtuale"

header di una mail di spam d'esempio: ##############################################

Come soluzione al momento ho solo quella di bloccare "fisicamente" l'accesso dal dato ip alla macchina in questione, ma preferirei una soluzione un po' piu' "fine", come si suol dire: anche perchè questa non andrebbe a risolvere la vulnerabilità.

Nel frattempo, a proposito dell'evoluzione del problema, la broadcast storm è cessata da una giornata, ed ora le richieste netbios sono dirette verso un unico dominio "MD".


PS: se possibile, eviterei di postare capture perchè all'interno della stessa sono presenti nomi/ip/zzivari che a pulirli ci metterei un po' di tempo . Se proprio non se ne riuscira' a venire a capo senza vedro' di postare quanto prima dei log "ripuliti" dalle informazioni sensibili.

Con lo spam è un altro discorso… sono abbastanza digiuno di Windows, ma azzardo un'ipotesi: le richieste sparate in broadcast erano mica termini che comparivano anche nella mail, ad esempio negli HELO riportati negli header?

Come soluzione ti posso suggerire di dire ad Exchange che deve usare le RBL per identificare gli IP spammatori e non accettare mail da loro. Ad esempio, su robtex vedo che l'IP che ti spamma è correttamente identificato da Spamcop, per cui potresti configurare alcune RBL tra cui Spamcop.

Ciao!

Potrebbe anche non entrarci niente eh, ma ultimamente c´é "cornficker" che sta facendo stragi! Vado a dormire

Non per farmi gli affari tuoi,ma o il Server è stato bucato o ha un "virus" o accetta tutto da tutti......diciamo che un affinamento dovrebbe rendersi necessario,ti pare?

Accettare tutto da tutti, credo di no.

Sul "bucato" potrei anche metterla come ipotesi.
Non me la sento di dare garanzie riguardo la sicurezza della rete in questione (più che altro perchè non ho nè abbastanza esperienza per dare giudizi sicuri in poco tempo, nè abbastanza documentazione). Di per contro pero', nel caso fosse un attacco "human-based" non credo che ci sarebbe stato il primo giro di "dizionario" per un paio di giorni....o no?

....chiamata...torno tra un po'.

Confermato:
una volta bloccata come connessione quella proveniente dall'ip incriminato, di sniff vedo soltanto SMTP aperte, e subito dopo "connection refused".

Guarda, il fatto di bloccare l'IP incriminato,non penso che sia da considerare la soluzione definitiva.Se l'attacante decide di cambiare IP??
Controlla che il Server possa accettare connessioni SMTP solo da chi effetivamente le deve accettare(se è il caso di un Server dedicato ).Se è un Server condiviso,sicuramente pretenderà l'autenticazione,controlla che non ci sia qualche account che sia stato "bucato".
Sinceramente propenderei per un "Virus" anche se in tal caso avresti dovuto avere connessioni da + indirizzi IP.Scansioni Antivirus ne hai fatte?
Per esperienza,un problema non affrontato fino in fondo,è un problema non risolto...prima o poi ci dovrai risbattere la testa..

...e infatti il giorno dopo è tornato all'attacco da un altro ip, ribloccato e da allora non si è fatto più sentire.

Ad ogni modo il problema permane e non si riesce a capire affatto chi/come faccia ad accedere. Mi sa che mi tocca mettermi un giorno "da fuori" a fare dei test un po' piu' seri, qui dall'interno non son riuscito a cavare un ragno dal buco.

O é un exploit automatico...oppure il tuo é un open relay