WTware & KAV - "Обнаружена сетевая атака"

Темы, которые не попадают в остальные категории.
Ответить
iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Чт мар 30, 2017 12:24 pm

Добрый день!

Есть два терминала с версиями WTWare 5.4.52 и 5.4.59
На сервере терминалов установлен Kaspersky Endpoint Security 10 и он упорно ругается на сетевую атаку, когда с этих терминалов идет подключение. См лог ниже. При этом, пользователь все же подключается к серверу терминалов.

Так же, к серверу подключается еще несколько терминалов с более старыми версиями (5.2.34) - на них не ругается.
Событие "Обнаружена сетевая атака" произошло на компьютере SRV02 в домене DOMEN 30 марта 2017 г. 9:37:58 (GMT+03:00)
Тип события: Обнаружена сетевая атака
Программа\Название: Неизвестно
Пользователь: DOMAIN\USER1, DOMAIN\USER2 (Активный пользователь)
Компонент: Защита от сетевых атак
Результат\Описание: Запрещено
Результат\Название: Intrusion.Win.TFTPD.buffer-overflow.exploit
Объект: UDP от 192.168.221.200 на локальный порт 69
Объект\Тип: Сетевой пакет
Объект\Название: UDP от 192.168.221.200 на локальный порт 69
Последний раз редактировалось iGOR_ Чт мар 30, 2017 12:26 pm, всего редактировалось 1 раз.

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение aka » Чт мар 30, 2017 2:59 pm

Я попробовал им написать, но едва ли кто-то станет разбираться.

Попробуй переключиться на HTTP загрузку: http://wtware.ru/docs5/httpboot.html

iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Чт мар 30, 2017 4:25 pm

А я использую DHCP от WTware. Выбрал в настройках HTTP но что-то не работает оно по HTTP...
Вложения
2017-03-30_16-23-54.png
2017-03-30_16-23-54.png (5.63 КБ) 1992 просмотра

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение aka » Чт мар 30, 2017 4:52 pm

Гы. А касперские отзываются!
Соберите дамп сетевой атаки. И пришлите его мне. Если объем дампа будет большой, то на какой-нибудь облачный ресурс (Dropbox, Yandexи т.п.) залейте и пришлите мне ссылку.

В этой статье http://support.kaspersky.ru/772 утилита создания дампа сетевых атак.

И укажите, пожалуйста, полную версию KES10.
Пришли чего они просят нам на support@wtware.ru, мы перешлём. Может и уберётся ругань.


Про загрузку по HTTP: поставь свежую втварь. Самую свежую. И уже из конфигуратора самой свежей втвари переключись там на TFTP, сохрани, ещё раз на HTTP, ещё раз сохрани. Если не поможет - перегрузи один подопытный терминал, выбери в списке слева "Служба DHCP", сохрани и покажи лог.

PS: прочитал инструкцию касперских. Блин, они winpcap пишут ставить. Я б побоялся на боевой сервер ставить winpcap. может на стенде каком получится воспроизвести и записать им дамп?
Вложения
KES.jpg
KES.jpg (21.72 КБ) 1987 просмотров

Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение Rushmore » Чт мар 30, 2017 5:26 pm

aka писал(а):Я б побоялся на боевой сервер ставить winpcap
Я б побоялся на боевой сервер ставить касперского.

iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Чт мар 30, 2017 8:44 pm

aka писал(а): Пришли чего они просят нам на support@wtware.ru, мы перешлём. Может и уберётся ругань.
Стоит ли тратить на это время? Кроме меня были жалобы?

Лучше я с начала обновлю WTware и перейду на HTTP загрузку.

aka
Разработчик
Разработчик
Сообщения: 9486
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение aka » Чт мар 30, 2017 10:00 pm

Жалобу на атаку по TFTP первый раз вижу. Даже не представлял, что оно такое бывает.

iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Чт июн 15, 2017 4:35 pm

Обновился до 5.4.96. Наблюдаю.

iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Чт июн 15, 2017 5:05 pm

P.S. + переключился на HTTP загрузку

iGOR_
Сообщения: 62
Зарегистрирован: Ср апр 19, 2006 3:35 pm

Re: WTware & KAV - "Обнаружена сетевая атака"

Сообщение iGOR_ » Вт июн 20, 2017 9:34 pm

После обновления несколько дней небыло сообщений от "атаках".
Возникла необходимость в профилактической перезагрузке сервера терминалов. Сразу после перезагрузки прилетела новая ошибка:
Событие "Обнаружена сетевая атака" произошло на компьютере SRV02 в домене DOMAIN 18 июня 2017 г. 23:23:41 (GMT+03:00)
Тип события: Обнаружена сетевая атака
Программа\Название: Неизвестно
Пользователь: DOMAIN\User1 (Активный пользователь)
Компонент: Защита от сетевых атак
Результат\Описание: Запрещено
Результат\Название: Bruteforce.Generic.RDP
Объект: TCP от 192.168.221.202 на локальный порт 3389
Объект\Тип: Сетевой пакет
Объект\Название: TCP от 192.168.221.202 на локальный порт 3389

Пришло три сообщения для IP трех терминалов, включенных на момент перезагрузки сревера.

P.S. Про Intrusion.Win.TFTPD.buffer-overflow.exploit больше не ругнается.

Ответить