Forum
Bildirimler
Hepsini Temizle
Windows Server
5
Yazılar
3
Üyeler
0
Reactions
974
Görüntüleme
Konu başlatıcı
Merhaba,
Windows 2012 Server üzerinde SQL server ve Logo tiger ticari uygulamaları yüklü durumda ve uygulamalara paylaşılan klasör üzerinden erişilerek Exe dosyaları client üzerinde çalıştırılıyor. Sunucuda düzenli olarak Her saat başında system process (pid 4) birden yüksek network trafiği oluşturmaya başlıyor, bu 3-4 dakika kadar sürüyor, takip ettiğimizde 445 portundan bir trafik oluştuğunu ve sunucudan transmit rate'in 1000mbps kadar çıktığını ve ağdaki windows clientlara yoğun bir gönderim olduğunu görüyoruz, bu esnada client bağlantıları yavaşlıyor veya programlar kopuyor. Sunucuda Trend Micro Client yüklü, zamanlanmış görevlerde herhangi bir şey yok.
Sunucudaki bu işlemin sebebi ne olabilir, teşekkürler.
Bu konu 4 yıl önce Ferit KAYALI tarafından düzenlendi
Gönderildi : 26/08/2020 10:18
Merhaba,
445 CIFS yani dosya paylaşımı bir yedekleme işi çalışıyor olabilir mi? İstemcilerin yedekleri alınıyor olabilir mi? Ya da zamanlanmış tarama yapılıyor olabilir mi?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 26/08/2020 10:40
Merhaba ,
Sunucu üzerinde bahsi geçen uygulamarın yanı sıra hangi roller yüklü olduğunu , paylaşırmısınız ?
Network trafiği sırasında SMB paylaşımına erişimde bir sorun olup , olmadığını gözlemlediniz mi ? Bu sunucu üzerinde paylaşıma açık bir yazıcı mevcut mu ?
Trend Micro Administrator Console , 445 Portunu uzaktan Yükleme aracılığıyla yüklerken ve istemciler, karantinaya alınan dosyaları sunucuya gönderirken kullanılır. Zamanlanmış görev yok demişsiniz ama Policy değişikliği veya istemcilerinize bir güncelleme yapıyor musunuz ?
Küçük bir organizasyon sahipseniz CMD satırında netstat -p tcp yapıp 445 portu kullanan cihazları görüp cihazları kapatıp trafiği tekrardan izleyebilirsiniz.
Son olarak sunucunuz güncel mi ? Saldırı ihtimaline karşı , güvenlik duvarınızda 445 nolu port açık ve bu sunucuya yönlendirilmiş durumda mı ?
Gönderildi : 26/08/2020 10:50
Konu başlatıcı
Merhaba,
Sunucu geçici olarak domain'e üye değil, 30 kadar client Guest olarak paylaşılan klasörden uygulama Exe'sini çalıştırıyor, Dosya Sunucusu ve IIS dışında başka bir Role yüklü değil, Sunucuda sadece SQL Server + ticari uygulamalar ve Acronis Cyber Backup ve Backup Console Yüklü (yedeklemeler durdurularak denendi)
istemci yedeklemesi gibi bir kurgu yok , Client/sunucu tarafında zamanlanmış tarama yok.
Sunucu Güncel, Dışarıdan port açık değil, SMBserver Loglarında özellikle sorun olduğu saatte kimlik doğrulama hatası görüyoruz ama bu hatayı üreten cihazı geçici kapattığımızda da sorun devam ediyor.
İlginç olan sadece bu bilgisayardan uygulama çalıştıranlara değil , Bu sunucuya hiç erişmeyen ama ağda açık durumda olan bilgisayarlara da bir trafik oluşuyor, ekran alıntısında görünen workstation3 teknik çizim yapan bir bilgisayar ve bu sunucu ile bir bağlantısı bulunmuyor.
Gönderildi : 26/08/2020 11:20
Bunun gibi bir program ile 14 günlük deneme sürecinde en azından bir bakın bakalım neler oluyor dosya bazında
https://www.cozumpark.com/lepide-ile-file-server-audit/
Ya da wireshark kurmanız lazım ancak sunucu da maşallah yok yok öyle bir yazmışsınız ki sadece bu bu bu var diye 🙂 örnek normalde sadece tek role olur sizde zaten pek çok role ve sorumluluk var hangisinden kaynaklı bulmak için en temel yöntem
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
gibi bir araç ile network trafiğini yapan exe yi bulmak. Ya da sırasıyla ilgili servisleri kapatıp izlemek. Yani uğraşmak gerekli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 26/08/2020 11:28
