Conexión en el puerto 3387 El visor de eventos dice "autorizado"

5

Este evento aparece varias veces en un minuto como si estuviera siendo forzado, pero dice "autorizado". Mi pregunta es: ¿Hay alguna forma de ver los comandos que vinieron de esta conexión? Revisé mis registros y archivos editados en esa fecha, pero no encontré nada concluyente. El sistema se eliminará pronto, por lo que cualquier cosa que valga la pena examinar antes del borrado sería buena para futuras referencias. Tenía mi VPN abierta a la red para el acceso temporal si alguien se preguntaba cómo había llegado al puerto en primer lugar.

EDIT:

Me gustaría darles las gracias a todos nuevamente por la ayuda con el representante para publicar las fotos, amigos, también todos los que se tomaron el tiempo para ver el tema, gracias también.

EDIT:

Vuelvaalvisordeeventosviendopatronesquenonotéenlaprimeraronda.

Hackcomenzóalas11/[email protected]:35am

El primer registro de TerminalServices-RemoteConnectionManager se muestra a las 5:17 pm

Observo que USER32 reinicia el sistema poco después de que se detengan las políticas de grupo y luego se detiene el visor de eventos:

Sigue observando todos los golpes que la computadora está registrando. Luego, un montón de procesos de gestión de control de servicios.

Winhttproxy se ejecuta después de un par de visitas más, así que verifiqué la configuración del proxy:

Másgolpesdeflashsebloquea:

Honestamente, no sé qué hacer con el accidente, ya se trate de una hazaña para flash o simplemente una inestabilidad de flash regular.

Haré un VHD esta noche y lo más probable es que limpie la máquina. Si alguien ve algo o tiene alguna pregunta o configuración que me gustaría que verificara, sería genial. Esta es una buena experiencia de aprendizaje, por lo que cualquier aportación es bienvenida.

    
pregunta Rick Alvarez 05.12.2012 - 17:17
fuente

2 respuestas

1

Lamentablemente, esta es una vulnerabilidad conocida. El puerto 3387 se puede usar para provocar ataques de denegación de servicio ejecutando código de explotación remota o mediante troyanos. Es un punto caliente. Esto debería estar cerrado por defecto (Windows). Esta es una comunicación basada en udp o tcp. El protocolo se conoce como backroomnet principalmente (usado por otros servicios también). Los puertos abiertos se pueden encontrar con netstat -ano. El pid asociado será útil para identificar el proceso. Otros registros también indican un DoS.

    
respondido por el Lasith 24.01.2013 - 02:42
fuente
0

es difícil saber exactamente qué está pasando sin ver el tráfico que pasa por la red. mi primera suposición sería un desbordamiento de búfer seguido de algún tipo de software ejecutable. Si es posible, ejecute una captura de paquetes a través de wireshark (software gratuito). Cuando veas actividad de nuevo toma nota de la hora. guardar la captura Lo ideal es que la captura ya se esté ejecutando cuando la sesión comience a tener una sesión completa.

¿Hay alguna forma de mensaje privado aquí? Suponiendo que esto sea posible, le daré mi dirección de correo electrónico si necesita ayuda para analizar el volcado de TCP. Siempre me interesa ver qué hacen las personas.

    
respondido por el 16num 16.01.2013 - 08:36
fuente

Lea otras preguntas en las etiquetas