none
在internet上建立域控后lsass持续向不同ip发送大量流量 RRS feed

  • 问题

  • 如题,环境是windows server 2016 datacenter,前几天才部署的AD域,域内仅有一台internet上的windows server 2012r2 standard。几天后于7月24日突然持续向多个ip发送流量,进程均为lsass.exe,已确认是原本的系统文件,带宽高达20Mb/s。用防火墙封锁入站流量后流量停止,但改为封锁出站流量则无效,请问这种情况是机器的原因吗?目前由于其他原因机器无法启动所以没有机会抓包。

    域是直接建立在internet上的,域名也是有效的,dns服务器位于域控服务器上,已在域名提供商处设置ns服务器为域控。

    2019年7月24日 17:07

答案

全部回复

  • 你好,

    本地安全机构子系统服务(LSASS)是Microsoft Windows 操作系统中的一个进程,负责在系统上实施安全策略。它验证登录到Windows计算机或服务器的用户,处理密码更改以及创建访问令牌。

    强行终止lsass.exe将导致欢迎屏幕丢失其帐户,提示重新启动计算机。 

    由于lsass.exe是一个至关重要的系统文件,因此其名称通常由恶意软件伪造。Windows使用的lsass.exe文件位于目录中 %WINDIR%\System32。如果它从任何其他位置运行,那lsass.exe很可能是病毒,间谍软件,木马或蠕虫。由于某些系统显示字体的方式,恶意开发人员可能会将文件命名为Isass.exe(大写“I”而不是小写“l”),以诱骗用户安装或执行恶意文件而不是可信系统文件。

    所以,您确认这个进程 Isass.exe 是系统进程吗?这个I是大写的吗?

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月25日 2:04
    版主
  • 因为任务管理器的详细信息里只运行了一个lsass程序,所以除非病毒可以直接注入原本的文件,否则我想应该不是病毒。此文件位置也的确位于%WINDIR%\System32下,描述也是Local Security 之类,所以我想应该并不是外来文件。
    2019年7月25日 3:37
  • 你好,

    那么你可以查查这些IP的来源,有可能是向域控或者其他计算机进行验证。或者有可能是来自一些Microsoft的公共服务地址。

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月25日 5:50
    版主
  • 你好,域控服务器恢复工作了所以我做了一下抓包,检测到来自非常多源ip对udp389端口的访问,包内容几乎是一模一样的,都是80字节的UDP包,数据52字节,文本形式大概是:

    ...,...8aNaw..E..OD........]...,.......;..0....-...c....$.............d.....objectClass0.....

    之后lsass程序就会向这些ip发送含有域的信息的三段UDP包,看内容是含有诸如common name,dc,支持的ldap策略,支持的ldap版本等等内容,目前暂时屏蔽了389端口的入站,如果是这是恶意的对ldap服务的泛洪的话,除了白名单以外有无其他可用解决方案?因为这些源ip几乎来自世界各地所以没办法做黑名单处理。谢谢!

    2019年7月25日 7:34
  • 你好,

    解决办法不是很多。您可以试一下下面的方法。

    转到Windows防火墙>入站规则> Active Directory域控制器 - LDAP(UDP-in)并将连接更改为“安全连接”

    

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月25日 8:04
    版主
  • 我试着这么做了,但是似乎这样设置的同时,我也无法在域内加入新的设备。目前是直接修改这个规则做了个白名单,谢谢你的帮助!
    2019年7月25日 9:00
  • 你好,

    的确,如果是新设备加域的话,就不符合安全的连接。

    设置白名单可能比较麻烦,但是有效。

    如果您还有其他问题,请随时在论坛发帖。

    Best regards,

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月25日 9:40
    版主