Kandu.dk - lsass.exe


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

lsass.exe
Fra : Jesper Jensen

Dato : 01-07-02 09:13

Jeg har netop blokeret for en forespørgsel til lsaa.exe.
Forespørgslen kom fra "Technische Universitaet Braunschweig".

Hvad går dette ud på ? Er jeg blevet angrebet eller ???

Jeg kører WinXP Pro og er på en Cisco 677

---------------------------------
Date: 01-07-2002 Time: 09:46:10
This one time, the user has chosen to "block" communications. Details:
Inbound UDP packet
Local address,service is (0.0.0.0,isakmp(500))
Remote address,service is (134.169.18.26,isakmp(500))
Process name is "F:\WINDOWS\system32\lsass.exe"

Search results for: 134.169.18.26
Technische Universitaet Braunschweig (NET-DBSTU1)
Rechenzentrum
D-38092 Braunschweig
DE

Netname: TU-BS
Netblock: 134.169.0.0 - 134.169.255.255

Coordinator:
Schmidt, Detlef J. (DJS7-ARIN) D.Schmidt@TU-BS.DE
+49 531 391 5514

Domain System inverse mapping provided by:

RZCOMM1.RZ.TU-BS.DE      134.169.9.107
DENEB.DFN.DE         192.76.176.9
INFBSSYS.IPS.CS.TU-BS.DE   134.169.32.1
NOC.RRZ.UNI-KOELN.DE      134.95.100.9
RZNB0.RZ.TU-BS.DE      134.169.9.16

Record last updated on 19-Sep-1996.
Database last updated on 30-Jun-2002 19:59:34 EDT.

------------------------slet "removethis" i emailadressen.

Christian E. Lysel (01-07-2002)

Kommentar
Fra : Christian E. Lysel

Dato : 01-07-02 15:01

Jesper Jensen wrote:
> Jeg har netop blokeret for en forespørgsel til lsaa.exe.
> Forespørgslen kom fra "Technische Universitaet Braunschweig".
>
> Hvad går dette ud på ? Er jeg blevet angrebet eller ???

Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
den at lave en VPN forbindelse, heraf UDP 500 pakken,

$ tcpdump -r q
15:44:42.048637 quark.wmsecurity.dk.5587 > 134.169.18.26.www: S
298605355:1298605355(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale
0,nop,nop,timestamp 1842121298 0> (DF) [tos 0x10]

15:44:42.094630 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:42.094697 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable

15:44:43.140005 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:43.140065 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable

15:44:45.186338 134.169.18.26.www > quark.wmsecurity.dk.5587: R 0:0(0)
ack 1298605356 win 0

15:44:45.195967 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:45.196037 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable

Det er nok en Windows 2000 maskine, der kører ISA:

$ sudo nmap -sS -O -p 1-500 134.169.18.26

Starting nmap V. 2.54BETA25 ( www.insecure.org/nmap/ )
Interesting ports on (134.169.18.26):
(The 489 ports scanned but not shown below are in state: closed)
Port State Service
11/tcp filtered systat
15/tcp filtered netstat
25/tcp filtered smtp
111/tcp filtered sunrpc
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
445/tcp filtered microsoft-ds

Remote OS guesses: Windows Me or Windows 2000 RC1 through final release,
MS Windows2000 Professional RC1/W2K Advance Server Beta3, Windows
Millenium Edition v4.90.3000

Jesper Jensen (01-07-2002)

Kommentar
Fra : Jesper Jensen

Dato : 01-07-02 15:20

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse
> Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
> den at lave en VPN forbindelse, heraf UDP 500 pakken,

OK - det vil sige jeg ikke skal bekymre mig ?

> Det er nok en Windows 2000 maskine, der kører ISA:

ISA - hvad hulen er det ?

Ellers tak for det detaljerede svar!

Mvh
Jesper

Anders Lund (01-07-2002)

Kommentar
Fra : Anders Lund

Dato : 01-07-02 21:19

Jesper Jensen wrote:
> ISA - hvad hulen er det ?

Internet Security and Accelleration server (noget i den retning)
Fortsættelsen på Microsoft Proxy serveren....

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/

Christian E. Lysel (02-07-2002)

Kommentar
Fra : Christian E. Lysel

Dato : 02-07-02 19:56

Jesper Jensen wrote:
>>Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
>>den at lave en VPN forbindelse, heraf UDP 500 pakken,
> OK - det vil sige jeg ikke skal bekymre mig ?

Ja. Men, hvorfor ikke slå VPN fra hvis du ikke bruger det?

Under services er der noget der hedder IPSec, denne kan slås fra hvis du
ikke bruger VPN.

>>Det er nok en Windows 2000 maskine, der kører ISA:
> ISA - hvad hulen er det ?

Ifølge Microsoft er det en proxy server og en Firewall, ifølge andre er
det penge ud af vinduet. Jeg fortrækker at bruge den bag en firewall jeg
stoler på.

Den understøtter bla. NTLM (Microsoft's brugervalidering i http) og AD
(Active Directory) så brugerne ikke skal logge sig på den, men det sker
automatisk. Det er der nogle der godt kan lide.

De andre producenter understøtter det ikke, måske har det noget med
sikkerheden at gøre, eller ógså at det er lukket standarder, squid har
fx sine problemer med NTLM.

Søg

Reklame

Statistik

Spørgsmål :	177549
Tips :	31968
Nyheder :	719565
Indlæg :	6408820
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste