为什么我们的 Windows 7 桌面不断向我们的 SBS2003 服务器发出 SMB 请求?
kaf*_*fka 5 windows-7 server-message-block windows-sbs-2003 packet-capture
可能的重复:
如何处理受感染的服务器?
我们的一台台式机(Win 7 64 位)最近抱怨速度变慢,尤其是在访问 SBS2003 服务器(也是 DC)上的资源时。我调查的一件事是服务器上的 AV,它占用了大约 500MB 的 RAM(它只有 4GB),所以我已经解决了这个问题。仍然存在问题,除此之外,我在服务器上进行了数据包捕获。
桌面(下图中的 23)不断向服务器发出大量 SMB 请求,即使用户有意识地没有访问任何资源。此外,它无缘无故地随机尝试使用另一个用户的凭据登录到服务器。凭据甚至不会出现在机器上的凭据管理器中。
为什么会这样?我在谷歌上搜索了一下,但找不到太多关于该主题的内容 - 令人担忧的是,在搜索“nt create andx request”时我唯一能找到的东西之一是一份名为“Microsoft LSASS Buffer Overflow fromexploit to worm”的白皮书。希望这一切都不是问题,我该怎么做才能进一步查明真相?如果在客户端上使用 netstat 和 taskmgr 有任何帮助,我已经确定负责此的进程被称为“NT 内核和系统”之类的东西。
Win 7 机器还是很慢,其他桌面没有受到影响。我们没有可以追溯到很远的系统还原,所以可能只是擦除它并重新开始。我有一个客户端查询服务器的数据包捕获的图像,以及其他人的凭据,这又一次又一次地循环。我在图 2 中删除的项目是:来自客户端(红色):计算机名和用户名(其他人的);从服务器(蓝色):域名(完整)、服务器名称、域名(缩短)、服务器、用户名。
编辑:使用 ESET NOD32 Ver 5 在 Win 7 桌面上进行病毒扫描,发现 Java/Exploit.CVE[DATE].BR 木马。它已清理/删除文件,这有多令人担忧?我们应该重建机器以确保安全吗?