Toon posts:

W10 client doet pogingen om aan te melden op IPC$ als guest

Pagina: 1
Acties:

Vraag

vrijdag 1 november 2019 14:54

Acties:
  • 0 Henk 'm!
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 16:17

The_Greater

Topicstarter
Uit ons monitoring systeem is gebleken dat er een Win10 client probeert te verbinden naar een andere Win10 clients IPC$ share als guest. Dat geschied ongeveer +/- 30 keer per dag.
Daarbij toont deze het als enigste in het netwerk dit gedrag.

Hebben jullie een idee wat dit zou kunnen zijn?
En hoe ik dit eventueel zou kunnen opsporen of wat dit gedrag veroorzaakt?

- Voor de networkmonitoring gebruik ik Wireshark
- netstat -o -a -n
- Process Explorer
- Register is nagezocht op IP en client name
- Diverse antivirussen het systeem na laten scannen

WireShark
Afbeeldingslocatie: https://tweakers.net/ext/f/xpfpJ9hjrHC4erbmWGgJpQYd/full.png

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

Beste antwoord (via The_Greater op 03-11-2019 00:14)

zaterdag 2 november 2019 21:48

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

The_Greater schreef op zaterdag 2 november 2019 @ 21:35:
[...]
waarom begint deze machine uitgerekend nu de IPC$ share te benaderen?...
Dat weet je niet; je weet alleen dat "het monitoring system" ineens is begonnen te piepen

Anyway, als de beheerders problemen hebben met het gedrag van jouw PC, dan pakken ze hem af en zetten ze er een nieuw image op. Problem solved

QnJhaGlld2FoaWV3YQ==

Alle reacties

vrijdag 1 november 2019 16:31

Acties:
  • 0 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 16:47

nelizmastr

Goed wies kapot

Loop eens naar de gebruiker en vraag hem/haar wat-ie aan het doen is?

Sowieso kan een malware scan geen kwaad.

I reject your reality and substitute my own

vrijdag 1 november 2019 16:35

Acties:
  • +3 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

The_Greater schreef op vrijdag 1 november 2019 @ 14:54:
Uit ons monitoring systeem is gebleken dat er een Win10 client probeert te verbinden naar een andere Win10 clients IPC$ share als guest. Dat geschied ongeveer +/- 30 keer per dag...
Grote kans dat het een drive mapping is die windows probeert te herstellen
...
Daarbij toont deze het als enigste in het netwerk dit gedrag.
...
Schattig toch?

QnJhaGlld2FoaWV3YQ==

zaterdag 2 november 2019 21:35

Acties:
  • 0 Henk 'm!
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 16:17

The_Greater

Topicstarter
nelizmastr schreef op vrijdag 1 november 2019 @ 16:31:
Loop eens naar de gebruiker en vraag hem/haar wat-ie aan het doen is?

Sowieso kan een malware scan geen kwaad.
Ik ben de gebruiker van die machine.
Verschillende AV's hebben hun werk gedaan. Eset, WinDefender, WebRoot en Symantec.
Maar die kwamen niet verder dan de typical bundle/adware software die nog in de downloads had staan.
Brahiewahiewa schreef op vrijdag 1 november 2019 @ 16:35:
[...]
Grote kans dat het een drive mapping is die windows probeert te herstellen

[...]

Schattig toch?
Daar lijkt het wel op, waarom begint deze machine uitgerekend nu de IPC$ share te benaderen?
Schattig, nee. Want ze verwachten dat er wat op staat. Terwijl ik naar goede argumenten zoek.

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

zaterdag 2 november 2019 21:48

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

The_Greater schreef op zaterdag 2 november 2019 @ 21:35:
[...]
waarom begint deze machine uitgerekend nu de IPC$ share te benaderen?...
Dat weet je niet; je weet alleen dat "het monitoring system" ineens is begonnen te piepen

Anyway, als de beheerders problemen hebben met het gedrag van jouw PC, dan pakken ze hem af en zetten ze er een nieuw image op. Problem solved

QnJhaGlld2FoaWV3YQ==

zondag 3 november 2019 00:14

Acties:
  • 0 Henk 'm!
  • The_Greater
  • Registratie: Februari 2001
  • Laatst online: 16:17

The_Greater

Topicstarter
Brahiewahiewa schreef op zaterdag 2 november 2019 @ 21:48:
[...]

Dat weet je niet; je weet alleen dat "het monitoring system" ineens is begonnen te piepen

Anyway, als de beheerders problemen hebben met het gedrag van jouw PC, dan pakken ze hem af en zetten ze er een nieuw image op. Problem solved
Komt uit de event monitoring als "to many failed logins"
Had het mooi gevonden als de oorzaak hadden kunnen vinden.
Andere tooling, methodes of iets anders.
Het wordt inderdaad een herinstallatie :w

Working in the IT : "When you do things right, people won't be sure you've done anything at all"

zondag 3 november 2019 00:30

Acties:
  • +2 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

The_Greater schreef op zondag 3 november 2019 @ 00:14:
[...]
Het wordt inderdaad een herinstallatie :w
Ter verdediging van de beheerders: jouw PC (192.168.51.13) spamt niet alleen 192.168.51.104 maar ook 192.168.51.149. En dat is gebaseerd op de 12 seconden network trace die je hebt laten zien. Als er buiten die 12 seconden ook nog andere ip-adressen worden gespamt, dan is er inderdaad reden tot ongerustheid; grote kans dat er dan ransomware op je PC draait

QnJhaGlld2FoaWV3YQ==

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq