Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Windows server 2012R2 100% upload.

Pagina: 1
Acties:

maandag 17 oktober 2016 11:35

Acties:
  • da_PSI
  • Registratie: December 2003
  • Laatst online: 17-11 08:56

da_PSI

Topicstarter
Sinds vrijdag is er iets met mijn server aan de hand. Hij gebruikt 100% upload en niks anders werkt meer. Het enigste wat ik kan doen is LDAP op secure connection zetten waardoor er upload overblijft. Zet ik deze weer op enable, dan gaat het weer op 100% upload en is niks meer werkbaar.

- De server draait op 2012R2 met de laatste updates.
- Hij wordt gebrukt als domain controller.
- Gescanned op virus/malware, niks gevonden.

Het problem, is lssas.exe (zie image)
https://tweakers.net/ext/...Gb7/full.png?nohitcount=1

Enig idee wat dit is?

[ Voor 17% gewijzigd door da_PSI op 17-10-2016 11:49 ]

maandag 17 oktober 2016 11:47

Acties:
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 15:23

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Het is lsass.exe (dus met een L), dan kan je misschien iets meer terugvinden. Kan het zijn dat jouw server ook data repliceert buiten je eigen netwerk om?
http://serverfault.com/qu...ion-bandwidth-consumption

Vroeger had je het sasser virus, wat lsass.exe gebruikte. Heb je daar ook eens naar gekeken? Mogelijk dat je verder moet graven in die materie.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 17 oktober 2016 11:50

Acties:
  • da_PSI
  • Registratie: December 2003
  • Laatst online: 17-11 08:56

da_PSI

Topicstarter
Outerspace schreef op maandag 17 oktober 2016 @ 11:47:
Het is lsass.exe (dus met een L), dan kan je misschien iets meer terugvinden. Kan het zijn dat jouw server ook data repliceert buiten je eigen netwerk om?
http://serverfault.com/qu...ion-bandwidth-consumption

Vroeger had je het sasser virus, wat lsass.exe gebruikte. Heb je daar ook eens naar gekeken? Mogelijk dat je verder moet graven in die materie.
Sorry, aangepast, had op op lsass gekeken. Heb gescanned met hitmanpro/Malwarebytes/Kaspersky, geen vind wat.

maandag 17 oktober 2016 15:13

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

da_PSI schreef op maandag 17 oktober 2016 @ 11:35:
...Enig idee wat dit is?
Toch malware. Begin alvast maar de backups op te zoeken.

Op je server (DC en SQLserver) heeft iemand local admin privileges weten te bemachtigen
Letterlijk heel het netwerk has been p0wned

QnJhaGlld2FoaWV3YQ==

maandag 17 oktober 2016 15:59

Acties:
  • da_PSI
  • Registratie: December 2003
  • Laatst online: 17-11 08:56

da_PSI

Topicstarter
Brahiewahiewa schreef op maandag 17 oktober 2016 @ 15:13:
[...]

Toch malware. Begin alvast maar de backups op te zoeken.

Op je server (DC en SQLserver) heeft iemand local admin privileges weten te bemachtigen
Letterlijk heel het netwerk has been p0wned
Kun je dit uitleggen?

maandag 17 oktober 2016 16:05

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Je server spendeert ongeveer een derde van z'n netwerk verkeer naar 59-127-49-42.hinet-ip.hinet.net
Heb jij vrienden in China? Kleine kans dat je die inderdaad hebt, maar heb je ze dan ook toegang gegeven tot deze server?

QnJhaGlld2FoaWV3YQ==

maandag 17 oktober 2016 16:07

Acties:
  • Meekoh
  • Registratie: April 2005
  • Laatst online: 17-11 22:19

Meekoh

lsass.exe genereerd over het algemeen geen uitgaand verkeer naar het internet. Dus dat je dat verkeer ziet is uitermate verdacht.

edit: tenzij je bekend bent met de adressen die je ziet. Kan net zo goed AD replication traffic zijn, maar dat gaat meestal over een VPN of iets dergelijks.

[ Voor 38% gewijzigd door Meekoh op 17-10-2016 16:14 ]

Computer says no

maandag 17 oktober 2016 16:14

Acties:
  • da_PSI
  • Registratie: December 2003
  • Laatst online: 17-11 08:56

da_PSI

Topicstarter
Er zijn backups van alle gegevens, dus dat is het probleem niet echt..., iemand een idee welke richting te zoeken (zonder dat ik hoef te formatteren/restoren?)

Heb er niet bijgezet waarmee ik gescanned heb in de openingpost;
- Kaspersky Small Business Security
- Malwarebytes
- HitmanPro

maandag 17 oktober 2016 16:30

Acties:
  • Room42
  • Registratie: September 2001
  • Niet online

Room42

Heb je de netwerkkabel er al uitgetrokken? Dat zou echt stap 0 moeten zijn! Of ken je de domeinen die in je screenshot staan?

[ Voor 25% gewijzigd door Room42 op 17-10-2016 16:30 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 17 oktober 2016 16:55

Acties:
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Wat ik zie is dat je server aan alle kanten wordt leeggetrokken door vreemde buitenlandse entitieiten. Dat virus scanners niks kunnen vinden is normaal, de machine is 0wned met reguliere processen en accounts. Wanneer je geen backup hebt dan ben je het haasje.

Mogelijk het volgende om het op te lossen:

Stap 1:
  1. Melding maken van een datalek, is verplicht tegenwoordig.
Stap 2:
  1. Netwerk kabel er uit en aansluiten op een geisoleerde switch zonder Internet.
  2. Een "Recover AD account" aanmaken met Administrator rechten en Enterprise admin rechten;
  3. Server herstarten en inloggen met net aangemaakte account.
Stap 3:
  • Alle Beheer groepen nalopen op vreemde accounts, let op geneste groepen;
  • Opschonen van de beheer groepen. Alleen default Administator mag er nog lid van zijn en je net aangemaakte Recover AD Account waarmee je aangemeld bent;
  • Wachtwoord van de Default Administrator wijzijgen!!!!!!!! iets van 12-16 karakters met complexiteit!!!!
  • Alle lokale profielen weggooien;
  • Controleren op onbekende scripts;
  • Controleren op onbekende accounts in de AD.
Stap 4:
  • In de firewall naar buiten alleen DNS (TCP/53 en UDP/53);
  • Geen RDP access of andere access van buiten af naar de Domein Controller. DIT MAG NOOIT!!!!! dus ook geen webserver en dergelijke op zelfde machine;
  • je Windows Firewall controleren of deze goed ingesteld staat (afhankelijk van services);
  • Service accounts controleren (service accounts met admin rechten zijn FOUTE ACCOUNTS!, liefst machine restricties op een service account zodat alleen op specifieke machine ingelogged kan worden.
Hierna is het hopen dat alles goed is. Maar ik heb mijn twijfels, Eigenlijk is de enige goede methode hierna:
  1. Backup maken;
  2. Machine uit zetten;
  3. Windows CD er in en clean install;
  4. Active Directory restoren.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

maandag 17 oktober 2016 17:23

Acties:
  • da_PSI
  • Registratie: December 2003
  • Laatst online: 17-11 08:56

da_PSI

Topicstarter
Ga hem toch maar lekker opnieuw installeren. De server is naar mij gekomen omdat er wat dingen mee aan de hand waren, zoals je kunt zien op de prtscrn. Heb toch antwoord gekregen binnen een dag dat hij toch opnieuw geinstalleerd mag worden..

maandag 17 oktober 2016 18:27

Acties:
  • TheBrones
  • Registratie: November 2013
  • Laatst online: 09:58

TheBrones

Hmm ik heb hier het zelfde probleem op een van mijn servers, daar heb ik als laatste een SoftEther vpn op gezet mogelijk is hier hier door naar binnen gekomen?
Virusscanners krijgen ook bij mij niks gevonden.

Edit: ook naar een reinstall heeft het maar een nacht geduurd voordat er weer hetzelfde gebeurd, ik ga dadelijk een topic openen.

Edit2: NOOIT dmz aanzetten in je netwerk firewall en naar je server zetten. |:( |:(

[ Voor 35% gewijzigd door TheBrones op 18-10-2016 15:36 ]

Hoi

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq