Forum

3389 portundan ciki...
 
Bildirimler
Hepsini Temizle

3389 portundan cikis yapan serverlar..

7 Yazılar
3 Üyeler
0 Reactions
621 Görüntüleme
(@hamitturgut)
Gönderiler: 116
Estimable Member
Konu başlatıcı
 

2012-02-09 10:12:01 src=192.168.1.36:49657 dst=192.168.30.242:3389
2012-02-09 10:11:59 src=192.168.1.36:49655 dst=192.168.30.241:3389
2012-02-09 10:11:59 src=192.168.1.36:49654 dst=192.168.30.240:3389
2012-02-09 10:11:59 src=192.168.1.36:49653 dst=192.168.30.239:3389
2012-02-09 10:11:59 src=192.168.1.36:49652 dst=192.168.30.238:3389
2012-02-09 10:11:58 src=192.168.1.36:49671 dst=192.168.30.255:3389
2012-02-09 10:11:58 src=192.168.1.36:49651 dst=192.168.30.237:3389
2012-02-09 10:11:58 src=192.168.1.36:49670 dst=192.168.30.254:3389
2012-02-09 10:11:58 src=192.168.1.36:49669 dst=192.168.30.253:3389
2012-02-09 10:11:57 src=192.168.1.36:49650 dst=192.168.30.236:3389
2012-02-09 10:11:57 src=192.168.1.36:49649 dst=192.168.30.235:3389
2012-02-09 10:11:57 src=192.168.1.36:49668 dst=192.168.30.252:3389
2012-02-09 10:11:57 src=192.168.1.36:49648 dst=192.168.30.234:3389
2012-02-09 10:11:57 src=192.168.1.36:49667 dst=192.168.30.251:3389
2012-02-09 10:11:57 src=192.168.1.36:49666 dst=192.168.30.250:3389
2012-02-09 10:11:57 src=192.168.1.36:49665 dst=192.168.30.249:3389
2012-02-09 10:11:56 src=192.168.1.36:49647 dst=192.168.30.233:3389
2012-02-09 10:11:56 src=192.168.1.36:49664 dst=192.168.30.248:3389
2012-02-09 10:11:56 src=192.168.1.36:49662 dst=192.168.30.247:3389
2012-02-09 10:11:56 src=192.168.1.36:49661 dst=192.168.30.246:3389
2012-02-09 10:11:56 src=192.168.1.36:49660 dst=192.168.30.245:3389
2012-02-09 10:11:56 src=192.168.1.36:49659 dst=192.168.30.244:3389
2012-02-09 10:11:56 src=192.168.1.36:49646 dst=192.168.30.232:3389
2012-02-09 10:11:56 src=192.168.1.36:49658 dst=192.168.30.243:3389
2012-02-09 10:11:55 src=192.168.1.36:49645 dst=192.168.30.231:3389
2012-02-09 10:11:55 src=192.168.1.36:49671 dst=192.168.30.255:3389
2012-02-09 10:11:55 src=192.168.1.36:49670 dst=192.168.30.254:3389
2012-02-09 10:11:55 src=192.168.1.36:49669 dst=192.168.30.253:3389
2012-02-09 10:11:55 src=192.168.1.36:49657 dst=192.168.30.242:3389
2012-02-09 10:11:55 src=192.168.1.36:49644 dst=192.168.30.230:3389
2012-02-09 10:11:54 src=192.168.1.36:49643 dst=192.168.30.229:3389
2012-02-09 10:11:54 src=192.168.1.36:49642 dst=192.168.30.228:3389
2012-02-09 10:11:54 src=192.168.1.36:49668 dst=192.168.30.252:3389
2012-02-09 10:11:54 src=192.168.1.36:49641 dst=192.168.30.227:3389
2012-02-09 10:11:54 src=192.168.1.36:49667 dst=192.168.30.251:3389
2012-02-09 10:11:54 src=192.168.1.36:49640 dst=192.168.30.226:3389
2012-02-09 10:11:54 src=192.168.1.36:49639 dst=192.168.30.225:3389
2012-02-09 10:11:54 src=192.168.1.36:49666 dst=192.168.30.250:3389
2012-02-09 10:11:54 src=192.168.1.36:49665 dst=192.168.30.249:3389
şeklinde

O Bir Efsane

 
Gönderildi : 09/02/2012 13:16

(@hamitturgut)
Gönderiler: 116
Estimable Member
Konu başlatıcı
 

içerde .30.x network yok. 1.36'nın işletim sistemi win2003 r2 sp ve güncellemeleri tam.

O Bir Efsane

 
Gönderildi : 09/02/2012 15:55

(@evrenbanger)
Gönderiler: 2439
Üye
 

Role olarak ne var serverin uzerinde ?

 
Gönderildi : 09/02/2012 16:07

(@Anonim)
Gönderiler: 0
 

sysinternals tcpview ile bakın hangi uygulama bunu yapıyor?

bir tarama olduğu kesin ama siz yapmıyorsanız kim yapıyor?

 
Gönderildi : 09/02/2012 16:15

(@hamitturgut)
Gönderiler: 116
Estimable Member
Konu başlatıcı
 

taramayi yapan svchost uzerinden çalışan birşey. tcpview ile bakıncada bunu goruyorum. Araştırmalarım sonucu 'Win32/Morto.A' olma ihtimali var. Ama svchost'a bu iş nasil yaptiriliyor bunu çozamedim.. Her türlü oneriye acigim... (Çözümü bulursa buraya belirticem ayrıca)

O Bir Efsane

 
Gönderildi : 09/02/2012 17:52

(@hamitturgut)
Gönderiler: 116
Estimable Member
Konu başlatıcı
 

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3AWin32%2FMorto.A

Burada virusle ilgili detayli bilgi verilmis. Registry HKLM\SYSTEM\CurrentControlSet\Services\Sens key'in içerisinde "DependOnService" değeri "EventSystem" olmalı ve HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters içerisinde ise "ServiceDll" değeri "<system folder>\sens.dll" olmalı. Ben ek olarak bu bilgileride baylaşayım istedim....

O Bir Efsane

 
Gönderildi : 10/02/2012 11:32

(@evrenbanger)
Gönderiler: 2439
Üye
 

Bunlari yaptiktan sonra duzeldimi peki ? Kontrol ettiniz mi ?

 
Gönderildi : 10/02/2012 15:35

Paylaş: