Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Protokół SMB - jak znaleźć proces wysyłający pakiety?

11 Lip 2019 12:01 165 8
  • Poziom 26  
    Witam kolegów pro,

    Jakiś proces/usługa używa procesu "system" do wysyłania po sieci LAN pakietów protokołu SMB z portu 138 na port 138.

    Log z WireShark wskazuje na proces "system", ale nie mogę zablokować tego procesu, bo stracę udostępnianie plików.

    Jak znaleźć winnego wysyłania po protokole SMB?

    Cenię wszelkie mądre informacje w tej sprawie.
  • Pomocny post
    Poziom 29  
    Poszukujesz nie procesu, a protokołu. Na porcie 138 działa NetBIOS.

    Możesz wyłączyć we właściwościach karty sieciowej. Jednak wówczas możesz utracić kompatybilność z innymi rozwiązaniami SMB.
  • Poziom 26  
    Kolego, protokół jest "językiem" komunikacji między aplikacjami. Ja szukam tej aplikacji, która posługując się protokołem SMB wysyła pakiety w przestrzeń ethernet po broadcast (.255). Widzę pakiety, ale nie wiem, jaki dokładnie proces/aplikacja wysyła je. Żeby znaleźć trojana/szpiega trzeba znaleźć proces, który posługując się procesem "system" wysyła pakiety.

    Stąd pytanie jak na wstępie.
  • Poziom 29  
    Należałoby na wstępie napisać, że podejrzewasz infekcję komputera. Bo wówczas i ów temat powinien znaleźć się w innym dziale.

    1. https://www.elektroda.pl/rtvforum/topic1044160.html
    2. Co to dokładnie oznacza "wysyła pakiety"? Jest ich jakaś duża ilość, że Cię niepokoi? Czy podejrzany jest adresat? Rozumiem, że widzisz wysyłane pakiety w WireSharku, ale to dosyć szczątkowe informację.
    3. Proces "System" wykorzystywany jest przez usługi systemowe. Na dzień dobry:
    - Logi z Wiresharka wskazujące na problem
    - Logi z FRST
  • Pomocny post
    Poziom 34  
    kk.2000 napisał:
    Widzę pakiety, ale nie wiem, jaki dokładnie proces/aplikacja wysyła je.


    Pośrednio każda aplikacja używająca systemu plików może wywołać ruch na portach netbios. Nawet nie jakaś sieciowa. U mnie otwarcie nowego okna eksploratora to broadcast UDP na portach ten usługi w tym na 138. Nawet w notatniku zrobienie file->open powoduje jakiś ruch. Podejrzewam że to kwestia zmapowanych dysków sieciowych ale może nawet nie jest to warunkiem koniecznym. Nie mówiąc o sytuacji włączenia innego komputera w sieci, gdzie odbywa się wtedy ożywiony dialog m.in. na udp:138.
    Tak że może fałszywy trop.
  • Poziom 26  
    Koledzy, nie podejrzewam infekcji mojego komputera, ale widzę nie zidentyfikowany ruch SMB.

    Wyjasnienia, że "wszystko może powodować ruch" nie stanowią żadnego rozwiązania problemu.

    To, że każdy proces/ocx/usługa/dll może zapisać coś na dysku, nie jest niczym dziwnym. Jeśli jednak COŚ zapisuje na twoim dysku kod, stanowiący o podglądzie ekranu, to na pewno zechcesz znaleźć winowajcę, bo to potencjalnie niebezpieczne działanie a już na pewno wtedy, kiedy to twój komputer.

    To samo dotyczy "czegoś" wysyłającego pakiety SMB po sieci LAN. Kod zawarty w pakiecie stanowi o natychmiastowym zamknięciu zestawu aplikacji, co uważam za potencjalnie niebezpieczne a już na pewno nie chciane.
  • Poziom 11  
    Może Process Explorer z pakietu sysinternals pomoże namierzyć dany proces?
    Nie wiem czy to jest odpowiedź na zadane pytanie w temacie, ale sam program pokazuje wiele informacji na temat procesów uruchomionych w danym momencie.
    Ewentualnie inny program z tego pakietu?
  • Pomocny post
    Poziom 34  
    amyk napisał:
    Może Process Explorer z pakietu sysinternals pomoże namierzyć dany proces?


    Z jednej strony masz rację. Bo z samego ruchu sieciowego widać tylko że to proces system wysyła te pakiety i dopiero złapanie procesu, który używa np. DLL z konkretną funkcją coś by dało.
    Ale z drugiej strony to strasznie żmudna robota (próbowałem u siebie), bo trzeba by wiedzieć dokładnie, który DLL odpowiada za te działania i który proces tą bibliotekę używa. A jeśli ładuje ją dynamicznie to można w ogóle tego nie zobaczyć. A procesów jest dużo a ładowanych DLL mnóstwo.
    Dlatego może tu sugerowana wyżej przez kolegów standardowa ścieżka przeciwwirusowa (logi itd.) może być jednak szybsza i skuteczniejsza w namierzeniu szkodnika.
  • Poziom 26  
    Kolego rb401, niestety, choć problem dotyczy WIELU komputerów to skanowanie antywirusami nie wykazuje żadnych efektów. To COŚ nie powoduje typowych dla Heurystyki działań.

    Powoduje tylko zamykanie pewnych programów i JEST to niebezpieczne działanie, ALE tylko w pewnych określonych warunkach. Niepożądane działanie dotyczy nielicznego grona odbiorców. Sądzę, że jest to element wojny między koncernami, ale więcej nie mogę na tą chwilę napisać.

    Tak czy inaczej, protokół SMB jest wyjątkowo niebezpiecznym narzędziem...

    Jeśli jednak wiesz coś na temat tej "żmudnej" roboty, to podziel się proszę tym co wiesz.