5
DNS.exe versucht alle 2 sekunden online zu gehen
Hi
ich habe ein Server Win 2000 und eine Hardware firewall.
in der Firewall wird nun im 2 sekundentakt eine interne Anfrge über port 1064 auf Port 53 verschiedener Externer IP Adressen geblockt.
Protokoll ist UDP
Das Ganze sieht dann so aus
Aug 23 09:50:38 [...] [restricted] [...] SRC=192.168.xx.xx DST=192.33.4.12 LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=10809 PROTO=UDP SPT=1064 DPT=53 LEN=46 #
Andere IP's sind
DST=192.33.4.12 DST=128.9.0.107 DST=128.9.0.107 DST=198.41.0.4 DST=192.33.4.12 L DST=128.9.0.107 DST=202.12.27.33
Es sind insgesammt ca 10 - 15 die rotieren.
Wenn ich Auf dem Server mit Active Ports nachschaue kommt das an Port 1064 und 1063 und 1065 die dns.exe lauscht und auf antwort wartet.
könnte es sein das ein anderer Comp aus dem Netzwerk versucht über die dns.exe zu gehen und wie kann ich das rausfinden.
Wie kann ich die anfragen unterbinden oder erstmal herausfinden wer oder was genau dahinter steckt.
Auf dem Server habe ih schon nach Vieren und Rootkits gesucht ohne ergebniss. HiJackThis hat auch nichts gefunden.
ich habe ein Server Win 2000 und eine Hardware firewall.
in der Firewall wird nun im 2 sekundentakt eine interne Anfrge über port 1064 auf Port 53 verschiedener Externer IP Adressen geblockt.
Protokoll ist UDP
Das Ganze sieht dann so aus
Aug 23 09:50:38 [...] [restricted] [...] SRC=192.168.xx.xx DST=192.33.4.12 LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=10809 PROTO=UDP SPT=1064 DPT=53 LEN=46 #
Andere IP's sind
DST=192.33.4.12 DST=128.9.0.107 DST=128.9.0.107 DST=198.41.0.4 DST=192.33.4.12 L DST=128.9.0.107 DST=202.12.27.33
Es sind insgesammt ca 10 - 15 die rotieren.
Wenn ich Auf dem Server mit Active Ports nachschaue kommt das an Port 1064 und 1063 und 1065 die dns.exe lauscht und auf antwort wartet.
könnte es sein das ein anderer Comp aus dem Netzwerk versucht über die dns.exe zu gehen und wie kann ich das rausfinden.
Wie kann ich die anfragen unterbinden oder erstmal herausfinden wer oder was genau dahinter steckt.
Auf dem Server habe ih schon nach Vieren und Rootkits gesucht ohne ergebniss. HiJackThis hat auch nichts gefunden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 66891
Url: https://administrator.de/contentid/66891
Printed on: April 19, 2024 at 04:04 o'clock
5 Comments
Latest comment
Diese Anfrage würde ich durchlassen, es handelt sich um Anfragen von Deinem Windows Server
an die DNS Root Server. Checke einfach mal die IPs aus dem Firewall Log mit einem "nslookup <IP>"
und trage diese als Regel in die Firewall ein.
Bei Deinem Beispiel sieht das dann so aus:
Server: <Dein AD DNS>
Address: 192.168.x.x
Name: c.root-servers.net
Address: 192.33.4.12
Gruß
cykes
an die DNS Root Server. Checke einfach mal die IPs aus dem Firewall Log mit einem "nslookup <IP>"
und trage diese als Regel in die Firewall ein.
Bei Deinem Beispiel sieht das dann so aus:
nslookup 192.33.4.12
Server: <Dein AD DNS>
Address: 192.168.x.x
Name: c.root-servers.net
Address: 192.33.4.12
Gruß
cykes
Hallo,
du kannst aber auch die Punktzone (.) aus dem DNS entfernen. Dann hast du das Problem nicht mehr.
Gruß
Liquid
du kannst aber auch die Punktzone (.) aus dem DNS entfernen. Dann hast du das Problem nicht mehr.
Gruß
Liquid
Grundsätzlich sollte der DNS keinen Grund haben die Server abzufragen da keiner über den Server online geht.
Wie meinst du das mit der Punktzone?
cya Seblu
Wie meinst du das mit der Punktzone?
cya Seblu
Wenn du unter Windows 2000 die DNS mmc aufmachst sollte da eine (.) Punkt Zone zusätzlich zu deiner Zone stehen in der alle Rootserver des Internets stehen. Wenn du diese Zone entfernst sollten die Onlinezugriffe entfallen.
Gruß
Liquid
Gruß
Liquid
Das Prob ist gelöst.
Ich Danke Dir.
Ich Danke Dir.
