Добрый день. dwnetfilter отправляет постоянные syn запросы на один из компьютеров в локальной сети(не сервер) на порт 9091. Выглядит не нормально.
dwnetfilter отправляет постоянные syn запросы
#1
Geschrieben: 20 Mrz 2024 - 11:05
#2
Geschrieben: 20 Mrz 2024 - 11:33
Добрый день. Подробностей, конечно, маловато, но можно предположить, что какое-то приложение на данном ПК это делает, а данный запрос проходит через нетфильтр.
Подробности можно попытаться узнать в логе: %ProgramData%\Doctor Web\dwnetfilter.log
#3
Geschrieben: 20 Mrz 2024 - 11:43
Добрый день. Подробностей, конечно, маловато, но можно предположить, что какое-то приложение на данном ПК это делает, а данный запрос проходит через нетфильтр.
Подробности можно попытаться узнать в логе: %ProgramData%\Doctor Web\dwnetfilter.log
а подробностей вообщем-то больше особо и нет. Есть терминальный windows server 2022. через wireshark видим постоянные syn запросы c него на ip в локальной сети на порт 9091. удалось вычислить pid процесса владельца и это нетфильтр.
Спасибо за предположение , попробуем посмотреть логи фильтра. Планирую попробовать переустановить антивирус , и еще раз после удаления посмотреть будут запросы лететь или нет.
Вообще похоже на вирус, удаленный комп к которому летят запросы пока изолировали. Drweb ничего не находит.
#4
Geschrieben: 20 Mrz 2024 - 11:51
никакого софта или служб которые это могут делать на сервере нет, к удаленной машине к которой он шлет syn тоже никакого отношения он не имеет кроме того что они в одной сети. запросы идут каждую секунду , ответа на них нет. Если отключить все службы кроме микрософт и удалить весь софт тот же результат. Несколько месяцев назад наблюдали похожую активность на нескольких машинах в сети. Вылечилось только полной переустановкой системы. Тогда же два месяца назад на машине к которой шли подобные syn запросы обнаружили трафик на ряд частных внешних адресов, их благополучно заблокировали. Не доктор веб ни какие другие антивирусы тогда ничего не нашли. единственным маркером был трафик.
Bearbeitet von jarbyst, 20 Mrz 2024 - 11:55,
#5
Geschrieben: 20 Mrz 2024 - 11:52
Нетфильтр сам по себе запросы не отправляет. Запросы инициирует и осуществляет какое-то приложение на ПК, нетфильтр его только перехватывает и по возможности проверяет. Какое приложение высовыввается на 9091 в логе нетфильтра можно увидеть. Возможно, потребуется увеличить подробность логгирования.
Bearbeitet von Kirill Polubelov, 20 Mrz 2024 - 11:54,
#6
Geschrieben: 20 Mrz 2024 - 12:31
Нетфильтр сам по себе запросы не отправляет. Запросы инициирует и осуществляет какое-то приложение на ПК, нетфильтр его только перехватывает и по возможности проверяет. Какое приложение высовыввается на 9091 в логе нетфильтра можно увидеть. Возможно, потребуется увеличить подробность логгирования.
спасибо попробуем.
в логах вижу записи типа [20/03/2024 12:25:25 0001e430] <DEBUG:1> Trying to connect to: 192.168.7.7:9091 Правильно ли я понимаю что 0001e430 это идентификатор соединения по которому стоит смотреть все записи относящиеся к данному соединению?
#7
Geschrieben: 20 Mrz 2024 - 12:31
Вообще похоже на вирус
Если есть подозрение на заражение на этом ПК, лучше не откладывая в долгий ящик, собрать сисинфо и обратиться в нашу СТП.
#8
Geschrieben: 20 Mrz 2024 - 12:33
Правильно ли я понимаю что 0001e430 это идентификатор
Да, верно, id треда.
#9
Geschrieben: 20 Mrz 2024 - 12:35
Правильно ли я понимаю что 0001e430 это идентификаторДа, верно, id треда.
ну кроме него ничего там и нет. Ладно будем искать, спасибо.
1 Benutzer lesen gerade dieses Thema
0 members, 1 guests, 0 anonymous users