Just nu i M3-nätverket
Gå till innehåll

Servern äter sessioner i brandväggen genom ICMP mot IP adresser


oweh

Rekommendera Poster

Jag har en 2008 server som efter ca 3-4 dagars uptime börjar köra ICMP Echo mot en massa IP adresser!! Jag loggar i brandväggen och får fram detta:

 

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.117

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.116

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.115

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.114

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.112

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.113

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.111

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.110

15:21:35 ICMP (L to W1, rule:3, Echo) 192.168.2.2 2.91.58.109

 

Som ni ser så pingar servern (192.168.2.2) adresser genom att börja lågt och räkna upp: 2.91.58.109, 110 ,111 ,112 ,113 ,114 osv... Den börjar lågt och försöker högre och högre. Startar jag om servern så upphör detta i några dagar sedan börjar den om från noll igen.

 

Blockerar jag inte dessa försök så äter den upp alla sessions i brandväggen vilket i sin tur sänker brandväggen.

 

Finns det något sätt att se vilken process i servern som gör dessa ICMP försök?

 

Tacksam för ideer på vad detta kan vara!

 

 

 

[inlägget ändrat 2008-11-24 16:45:23 av oweh]

Länk till inlägg
Dela på andra webbplatser

hej

 

 

netstat -no

visar alla aktiva sessioner.

 

det verkar som om du har nått program på servern som söker efter aktiva datorer...

Har du antivirusprogram på serven? om inte installera.

kör spybot o kolla om det finns nått konstigt på servern.

 

Länk till inlägg
Dela på andra webbplatser

Tyvärr visar netstat bara TCP och inte ICMP...

 

Jag har Panda antivirus på servern och har kört Spybot samt TrojanRemover utan att hitta något.

 

Letar ett program som kan visa vilken process som kör ICMP connections.

 

Länk till inlägg
Dela på andra webbplatser

Hittade tillslut vilken process det var. Det var agscan.exe som hör till Panda Adminsecure som ställde till det.

Den SKA leta i subnätet där servern är installerad efter datorer som finns tillgängliga för installation av antiviruset. Det verkar vara en bugg i programmet tillsammans med Windows 2008 som gör att den letar bland alla adresser som finns!!!

 

Börjar tröttna på alla problem som Pandan medför nu..... :(

 

 

 

 

 

 

[bild bifogad 2008-11-25 13:31:55 av oweh]

1101424_thumb.jpg

Länk till inlägg
Dela på andra webbplatser
  • 6 months later...

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.



×
×
  • Skapa nytt...