Just nu i M3-nätverket
Jump to content

Servern äter sessioner i brandväggen genom ICMP mot IP adresser


oweh

Recommended Posts

Jag har en 2008 server som efter ca 3-4 dagars uptime börjar köra ICMP Echo mot en massa IP adresser!! Jag loggar i brandväggen och får fram detta:

 

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.117

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.116

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.115

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.114

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.112

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.113

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.111

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.110

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.109

 

Som ni ser så pingar servern (192.168.2.2) adresser genom att börja lågt och räkna upp: 2.91.58.109, 110 ,111 ,112 ,113 ,114 osv... Den börjar lågt och försöker högre och högre. Startar jag om servern så upphör detta i några dagar sedan börjar den om från noll igen.

 

Blockerar jag inte dessa försök så äter den upp alla sessions i brandväggen vilket i sin tur sänker brandväggen.

 

Finns det något sätt att se vilken process i servern som gör dessa ICMP försök?

 

Tacksam för ideer på vad detta kan vara!

 

 

 

[inlägget ändrat 2008-11-24 16:45:23 av oweh]

Link to comment
Share on other sites

hej

 

 

netstat -no

visar alla aktiva sessioner.

 

det verkar som om du har nått program på servern som söker efter aktiva datorer...

Har du antivirusprogram på serven? om inte installera.

kör spybot o kolla om det finns nått konstigt på servern.

 

Link to comment
Share on other sites

Tyvärr visar netstat bara TCP och inte ICMP...

 

Jag har Panda antivirus på servern och har kört Spybot samt TrojanRemover utan att hitta något.

 

Letar ett program som kan visa vilken process som kör ICMP connections.

 

Link to comment
Share on other sites

Hittade tillslut vilken process det var. Det var agscan.exe som hör till Panda Adminsecure som ställde till det.

Den SKA leta i subnätet där servern är installerad efter datorer som finns tillgängliga för installation av antiviruset. Det verkar vara en bugg i programmet tillsammans med Windows 2008 som gör att den letar bland alla adresser som finns!!!

 

Börjar tröttna på alla problem som Pandan medför nu..... :(

 

 

 

 

 

 

[bild bifogad 2008-11-25 13:31:55 av oweh]

1101424_thumb.jpg

Link to comment
Share on other sites

  • 6 months later...

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...