У меня такая ситуация. В сети 300 компов. ОС сервера Win2003 .Сервер выполняет роль лишь роутера. Лог антивирусника НОД32 показывает что в определенное время кто-то включает свой комп в сеть и начинаются вирусные атаки . Можно ли зная время включения компьютера в сеть отловить его IP адрес (при статическом распределении адресов) ? Потому что вирус так лупит, что прокси сервер, который находится на другом компьютере и под управлением другой ОС (eComStation) не может обработать такое количество запросов одновременно (60 запросов в секунду) Прокся eComStation такая гнилая, что нельзя с её помощью что-либо отследить

Антивирусник где только на сервере? а на рабочих станциях?
Сеть с доменовм, или рабочая группа?
"НОД32 показывает" можно узнать что показывает?

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
15.06.2010 13:17:25 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:25 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\C6GO1URV\jxwjpj[1].jpg Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\WINDOWS\system32\x Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
15.06.2010 13:17:09 AMON файл C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\VUREHUKR\qlyodrdk[1].png Win32/Conficker.Z червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
И тд и тп целый день пока какой-то пользователь не отключает свой компьютер. Тогда полный штиль.

Антивирусник стоит на сервере а на рабочих станциях стоят разные: у кого Касперский у кого Доктор веб, у кого Панда Avast, AVG и т.д. Сеть не доменная, а рабочая группа

cadeau
Включи "Аудит входа в систему" в Локальной политике безопасности. Потом сравни время срабатывания НОДа и похожее время в логах Аудита. В логах будет указан комп, который лезет на сервак.
Должно получиться.

Спасибо я нашел по вашему совету некоторые компы с помощью политики аудита, который был постоянно по умолчанию включен. Но кроме конкретных имен и адресов имеются сообщения ,которые меня очень смущают :
NT AUTHORITY\ANONYMOUS LOGON
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3

и этих сообщений немало Что это может быть?

Ну а эта политика?
У меня в офисе был похожий вирус, он лез во все расшаренные папки. Так я у себя на компе создал такую и ловил "на живца". Правда компов было на порядок меньше и подозрения в основном падали на ресепшен, т.к. у остальных сотрудников в офисе маловато времени для лазания по инету. :lol2:
PS: Давно это было, так что за точность "политик" не ручаюсь.

Меня сильно смущают сообщения такого типа которые сыпятся как из рога изобилия:
User Name: ANONYMOUS LOGON
Domain: NT AUTHORITY
Logon ID: (0x0,0x2F05AF5)
Logon Type: 3
Что это сообщения системы или кто-то ломится изнутри сетки или это вирус ?

Видимо кто-то изнутри сетки ломится и, имхо, это зараженные компы.
Это я сделал скрин, когда комп с ХР подключается к другому с ХР.

А что показывает нод в сетевых соединениях? версия нода выше второй ?
Расшареные папки для всех вользователей или конкретно по пользователям или группам?

Да наверное потому что системные сообщения имеют такой вид
User Name: NETWORK SERVICE
Domain: NT AUTHORITY
Logon ID: (0x0,0x3E4)
Privileges: SeAuditPrivilege

А можно как либо вычислить MAC адрес сетевой карты, с которой ломится ANONYMOUS ?

NOD32 2.7 Папки каждый пользователь расшаривает сам, какие он хочет. Компьютер на Win2003 выполняет роль только роутера Это не файл-сервер

закрой все шары включая админские, поставь файрвол.

Когда ставишь файервол на какой-то рабочей станции то он отсекает все сетевые компьютеры стоящие за ним. Пробовал все существующие в природе файерволы. А если ставить фаейервол на роутер, то надо столько прописывать разрешений что и руки опускаются. Это не Линух где гамбузом все разрешенные адреса слить можно в файервол

Friendly Net Watcher при установке можно выбрать русский интерфейс.

http://www.kilievich.com/rus/fwatcher/preview.htm

С вашей помощью все IP адреса и имена зараженных компьютеров мне удалось определить а их немало (около 60) , теперь возник вопрос какой файервол лучше всего поставить на win2003 чтобы их отключить пока не вылечатся но чтобы при этом не было проблем с роутингом

Бесплатный?
Русский?

Firewall

Лучше бесплатный английский и опробованный на win2003 , потому что большинство файерволов приведенных выше нам гасили весь роутинг

KSSWare Extended IP Filter & Monitor - your computer security
http://www.kssware.net/ipfilter.html
Не помню на счет лицензии.

P.S А вообще тебе надо файрвол ставить и рисовать не правила для роутинга, а тупо разрещать всем все за исключением тех машин что плохие, им просто запретить все.

Мы не можем без роутинга, так как у нас в роутинге WIN2003 прописаны 4 различных внутренних LAN с внутреннмими IP и одна внешняя сеть WAN с внешними IP


Пробвал поставит KSS но ничего не получается , появляется сообщение To run this application you first must install Net. Framework V2.0.59727 а где его брать?

У меня стоят FrameWork's 1.1_2.0_3.0_3.5, KSS загрузился и зарабоал без проблем; жаль, русика для него нет...А Net. Framework V2.0.5972 в Гугле навалом :-)

Framework V.20 не ставится почему-то на первую сборку win2003 а второй сервис пак тоже почему-то конфликтует