Pull to refresh

История одного «инцидента» или оконная пакость

Information Security *
Скажу сразу: слово «инцидент» взято в кавычки, т.к. на самом деле никакого инцидента не было. Это была «стабильная» работа форточек...


Сижу себе на работе, никого не трогаю, читаю книгу "Linux Advanced Routing & Traffic Control HOWTO"…
Заорали коллеги, мол инета нету. Подключаюсь к шлюзу, он у меня на pfSense 1.2.3, иду в Status -> Traffic graph: канал забит исходящим трафиком. Лезу в Services -> BandwidthD, нахожу подозрительный комп (192.168.0.197), у которого UDP трафик в несколько десятков метров, выдергиваю его кабель из свитча, смотрю на графики шлюза, инет ожил. Втыкаю кабель, опять исходящий трафик забивает канал. Заблокировал его на фаере и пошел к этому компу.
Закрыл все проги. Запустил netstat, ничего подозрительного, в диспетчере задач тоже чисто. Т.ж. проверил след. утилитами: TCPView, Autoruns и Process Explorer. Чисто! Скачал и проверил через AVZ. Чисто! Запустил сканирование антивирем. Чисто! Просканировал еще двумя. Чисто! Загрузился с LiveCD, просканировал еще раз. Чисто! Волосы уже дыбом, мозг в шоке.
Вернулся к себе, пошел в Diagnostics -> State Summary, делаю поиск по странице по адресу «192.168.0.197» и в разделе «By IP Pair» нахожу следующее:
IP                                # States   Proto   # States   Src Ports   Dst Ports
192.168.0.197 -> 207.46.232.182   2
                                             udp     2          1           1
Были и другие, но меня интересовал протокол UDP. Смотрю, что это за IP:
$ host 207.46.232.182
В ответе вижу много DNS-имен, что меня напрягает, а слудующее и вовсе удивило:
182.232.46.207.in-addr.arpa domain name pointer <b>agent.microsoft.com</b>.
182.232.46.207.in-addr.arpa domain name pointer <b>channels.microsoft.com</b>.

Уже чуть ли не в ярости, иду в Diagnostics -> Packet Capture и запускаю захват всех пакетов, которые идут с/на 207.46.232.182. В ответ вижу следующее:
15:37:25.117132 IP 192.168.0.197.123 > 207.46.232.182.123: UDP, length 48
15:37:25.123705 IP 207.46.232.182.123 > 192.168.0.197.123: UDP, length 48
Порт 123 это же NTP, убеждаюсь:
$ grep 123 /etc/services 
ntp		123/tcp
ntp		123/udp				# Network Time Protocol
Да, все верно.

Иду опять к той машине, тыкаю дважды по часам, на последней закладке снимаю единственную галку, OK… Вауля, трафик перестал идти (т.ж. мониторчики справа внизу погасли). Для верности т.ж. вырубаю службу времени ворточек.
Возвращаюсь к себе, ввожу в терминале:
$ host time.windows.com
В ответ получаю:
time.windows.com is an alias for time.microsoft.akadns.net.
time.microsoft.akadns.net has address 207.46.232.182


И вот еще додумайся (без анализа трафика, конечно), что это популярная и «надежная» ОСь просто захотела мозг мне по__ть, а не какой-нибудь очередной, свежий трой прикрытый руткитом.

В очередной раз я убедился, что «Службу времени Windows» стоит вырубать.




PS: Цель поста: показать на примере начинающим админам, как можно определить и разоблачить «аномалии» в сети.

PPS: Для тех, кто не знает pfSense… По умолчанию пакеты «BandwidthD» и «States Summary» не устанавливаются. Их надо ставить самостоятельно в System -> Packages.
Tags:
Hubs:
Total votes 163: ↑107 and ↓56 +51
Views 9.8K
Comments Comments 107