Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Servern äter sessioner i brandväggen genom ICMP mot IP adresser

oweh

Startad av oweh,
i Windows Server

Rekommendera Poster

oweh

oweh

Postad
Postad

Jag har en 2008 server som efter ca 3-4 dagars uptime börjar köra ICMP Echo mot en massa IP adresser!! Jag loggar i brandväggen och får fram detta:

 

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.117

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.116

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.115

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.114

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.112

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.113

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.111

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.110

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.109

 

Som ni ser så pingar servern (192.168.2.2) adresser genom att börja lågt och räkna upp: 2.91.58.109, 110 ,111 ,112 ,113 ,114 osv... Den börjar lågt och försöker högre och högre. Startar jag om servern så upphör detta i några dagar sedan börjar den om från noll igen.

 

Blockerar jag inte dessa försök så äter den upp alla sessions i brandväggen vilket i sin tur sänker brandväggen.

 

Finns det något sätt att se vilken process i servern som gör dessa ICMP försök?

 

Tacksam för ideer på vad detta kan vara!

 

 

 

[inlägget ändrat 2008-11-24 16:45:23 av oweh]

Länk till kommentar
Dela på andra webbplatser
/JAG

/JAG

Postad
Postad

hej

 

 

netstat -no

visar alla aktiva sessioner.

 

det verkar som om du har nått program på servern som söker efter aktiva datorer...

Har du antivirusprogram på serven? om inte installera.

kör spybot o kolla om det finns nått konstigt på servern.

 

Länk till kommentar
Dela på andra webbplatser
oweh

oweh

Postad
  • Trådskapare
Postad

Tyvärr visar netstat bara TCP och inte ICMP...

 

Jag har Panda antivirus på servern och har kört Spybot samt TrojanRemover utan att hitta något.

 

Letar ett program som kan visa vilken process som kör ICMP connections.

 

Länk till kommentar
Dela på andra webbplatser
oweh

oweh

Postad
  • Trådskapare
Postad

Hittade tillslut vilken process det var. Det var agscan.exe som hör till Panda Adminsecure som ställde till det.

Den SKA leta i subnätet där servern är installerad efter datorer som finns tillgängliga för installation av antiviruset. Det verkar vara en bugg i programmet tillsammans med Windows 2008 som gör att den letar bland alla adresser som finns!!!

 

Börjar tröttna på alla problem som Pandan medför nu..... :(

 

 

 

 

 

 

[bild bifogad 2008-11-25 13:31:55 av oweh]

1101424_thumb.jpg

Länk till kommentar
Dela på andra webbplatser
  • 6 months later...

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...