Есть сеть, 200 машин. Все сидят на 192.168.0.0/24
Недавно в сети появился непонятный UDP траффик -- на 192.168.1.0/24. Когда блокирую его, траффик направляется на 192.168.2.0/24. (Таких адрессов в сети нет).

На машине посмотрел, что траффик генерируется SVCHOST-ом, а именно iphlpsvc.

Если посмотреть траффик wireshark-ом, то ничего прочесть нельзя. Возможно содержание зашифрованно? Смотри приложенный файл (лог wireshark-а).

Сделал также дамп всего процесса (svchost) и загрузил сюда: narod.ru/disk/62001323001.3dd8f227bf8badc32a95b651f925a6f6/svchost2.DMP.html (84 мегабайта)

Раньше компания подвергалась серьезным вирусным атакам, не продолжение ли это атак?

Помогите, пожалуйста, советом в какую сторону копать.
Заранее благодарен.

e55d_04.10.2012_EXELAB.rU.tgz - 192

| Сообщение посчитали полезным:

blackyblack пишет:
Помогите, пожалуйста, советом в какую сторону копать.
А палка-копалка у тебя есть?

На SVCHOST висит куча сервисов, и основная масса - это сетевые службы, поэтому сетевая активность данного процесса (или одного из одноименных процессов) вполне нормальная картина...
--> Вот список служб работающих от SVCHOST <--

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

192.168.1.0 - Это случайно не IP роутера?

| Сообщение посчитали полезным: ClockMan

OnLyOnE пишет:
На SVCHOST висит куча сервисов, и основная масса - это сетевые службы, поэтому сетевая активность данного процесса (или одного из одноименных процессов) вполне нормальная картина...

Подозрительна не именно наличие сетевой активности, а destination ip address. Так как никаких 192.168.1.0/24 в сети нет.

| Сообщение посчитали полезным:

Vovan666 пишет:
192.168.1.0 - Это случайно не IP роутера?

Нет, свитч сидит на 192.168.0.1, а за ним роутер на 10.10.20.1
Никаких 192.168.1.0/24 в сети нет.

| Сообщение посчитали полезным:

OnLyOnE пишет:
На SVCHOST висит куча сервисов, и основная масса

Ну в конкретно в этом случае, я уже указал в ОП, что сервис - iphlpsv. По крайней мере так показывает Process Explorer от Sysinternals.

| Сообщение посчитали полезным:

iphlpsvc

Что это такое: Этот процесс службы IP Helper. Если эта служба остановлена, компьютер будет иметь подключение только по протоколу IPv6, если он подключен к родной сети IPv6.
Что я могу сделать? Если вы подключены к сети IPv4, не отключайте этот процесс, так как вы потеряете связь.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise

Ну это понятно, я уже гуглил до того как задать вопрос на форуме.

Непонятно одно -- почему оно отправляет данные на адресса, которых нет. Причем за день статистика показывает больше 80 мб.

| Сообщение посчитали полезным:

в лоб, ставите фаервол, он на каждый исходящий коннект будет кричать о том какая программа лезет,
вот и отловите своего неуловимого Джо

| Сообщение посчитали полезным:

reversecode пишет:
в лоб, ставите фаервол, он на каждый исходящий коннект будет кричать о том какая программа лезет,
вот и отловите своего неуловимого Джо

дык, это и так видно по wireshark+netstat+tasklist: svchost. А что запускает svchost -- уже не понятно.

| Сообщение посчитали полезным:

Vovan666 пишет:
192.168.1.0 - Это случайно не IP роутера?
Это IP modema, роутера..

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

http://itnotepad.ru/2012/04/13/svchost-exe-virus-ili-ne-virus/
http://forum.oszone.net/nextnewesttothread-194870.html

антивируса конечно у вас нет? идите скачивайте проверяйте антивирусом

ps ProcessHacker показывает все программы которые запущены от него, а там где не показывает подводим курсором и показывает имена запущенных Сервисов от него

| Сообщение посчитали полезным:

blackyblack пишет:
Ну в конкретно в этом случае, я уже указал в ОП, что сервис - iphlpsv. По крайней мере так показывает Process Explorer от Sysinternals.
В Process Explorer нужно смотреть не только главное окошко, но и Properties...->Threads увидишь еще много всяких модулей.

| Сообщение посчитали полезным:

Судя по структуре пакетов, это настоящий Teredo. Кто-то пытается соединиться с IPv6 хостом, но не может.
Что пишут в
HKLM\System\CurrentControlSet\Services\iphlpsvc\config
и
HKLM\System\CurrentControlSet\Services\iphlpsvc\Teredo
?
--> Описание тередо <--
--> Структура IPv6 пакета <--

| Сообщение посчитали полезным: blackyblack

tomac

Спасибо большое! Вроде это действительно teredo!

Нашел еще интересную тему, где обсуждается подобная ситуация. http://forums.comodo.com/10551086108810911089108910821080-russian/utorrent-netsvcs-ethcedil-ethsup2n%EF%BF%BDethfrac34ethacuten%EF%BF%BDn%EF%BF%BDethcedilethmicro-udp-t73364.30.html

Остался последний вопрос: как понять что является источником такого траффика: skype, uTorrent или какой-нибудь вирус?

| Сообщение посчитали полезным:

blackyblack пишет:
Остался последний вопрос: как понять что является источником такого траффика
Посмотреть сниффером, wireshark имхо лучший.

| Сообщение посчитали полезным:

F_a_u_s_t
Шарк же не показывает, какой процесс этот трафик порождает. Покажет IP источника и всё.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
А, ну да, из коробки не умеет.
К шарку есть плагин который показывает, название на память не помню.
Process Explorer от Русиновича можно заюзать или netstat -a -n -o -b что бы посмотреть кто куда стучит, а потом в любом мало мальски приличном сниффере отфильтровать.

| Сообщение посчитали полезным:

Незнаю как у других но с моей материнской платой шла пронрамма от ASrock --> CFosSpeed <-- так там есть монитор и он показывает любое соединение со всеми подробностями


Uploaded with ImageShack.us

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan полистай что открывает svchost, наверняка не покажет
а все юзер левел программы - да показывает, и не только он, а любой netstat с параметрами или фаер.

а вирусы обычно через сервис запускаются, поэтому их не видно,
частично увидеть какой сервис стартонул через svchost можно как минимум в ProcessHacker,
но на какой порт он занимает - уже не видно

| Сообщение посчитали полезным: