10. november 2002 - 07:32Der er
23 kommentarer og 2 løsninger
Underlig trafik
Hjælp !!! Efter at have rodet lidt med IIS 5 er min routers lamper begyndt at indikere at der er trafik, men jeg kan ikke finde ud af hvilken form for trafik det er. Hvis jeg stopper web, ftp og smtp på serveren, så fortsætter trafikken. Men slukker jeg serveren helt, ja så holder lamperne op med at lyse. Er der ikke nogen der kan hjælpe mig med dette ??
Nej, kun når jeg har web serveren tændt Jeg ved godt at routeren's lamper blinker engang imellem selvom der ikke er trafik. Men her er det "WAN ACT" der lyser hele tiden og "LAN ACT" blinker hurtigt
Hvis du kigger på loggen i IIS5, kan du se en masse requests med fejl. Mange af dem er formentlig fra computere med Nimda og lignende kryb. Hvis du ikke har de nyeste sikkerhedsopdateringer til IIS, får din egen server også selv orm.
Du bør faktisk slet ikke forbinde en IIS5 med internettet før den har fået sikekrhedsopdateringer. Det prøvede jeg for ½ år siden. Den var forbundet til lokalnetværk. Efter 5 minutter havde både server og en anden computer ca. 500 Nimda filer, som det tog 5 timer at kommeaf med.
IIS 5 er opdateret, og logfilerne indeholder kun mine egne request. Det må være noget andet der laver denne trafik. Er det evt. muligt med Network monitor at finde kilden til trafikken, eller skal der noget andet til
Logfilerne viser jo kun requests på hhv webserveren og ftp-serveren. Der er mange tusind andre porte og mange andre protokoller. Gå ind i DOS-prompten (kør -> cmd) og skriv "netstat /a" Eller: Prøv med http://www.lockdowncorp.com/ f.eks. Lockdown, som kan overvåge al netværkstrafik på alle porte og fortælle, hvem du er i kontakt med. Hvis man skal have fuld udbytte af programmet koster det licens.
Og lav en virusscanning med f.eks. www.antivirus.dk . Den finder evt. Nimda-kryb OG den virker i modsætning til mange andre virus-programmer også på rigtige servere.
Kør også virusscanning på de andre computere i netværket. Og så vil jeg i øvrigt - på baggrund af egne erfaringer - fraråde at have direkte filkontakt mellem webserveren og andre computere. Flyt filer på FTP i stedet, når du har brug for det. Fildeling er direkte adgang for enhver virus.
Det er ikke søgerobotter. Med så mange adresser er det næppe een portscanner. Mere sandsynligt requests fra virus-computere. Måske er det lige omvendt at din server scanner andre computere? Skynd dig at få lavet en virus-scanning.
Hmm. Prøvede at hente forskellige virusprogrammer, men ingen af dem vil installere sig på Win2000 Server. Nogle der kender til er TRIAL/FREE server udgave ??
Som allerede sagt er fordelen ved en virusscanning fra www.antivirus.dk bl.a. at du kan køre den på en Windows 2000 server. Det kan alm. virusprogrammer ikke. Men en online-scanning er glimrende her-og-nu. Lockdown, som jeg også foreslog, kan en masse ud over at overvåge porte og forhindre trojanske gedebukke, kan også installeres på 2000 server.
hmmm, efter en on-line scanning fik jeg at vide at der var 3 filer med virusen Linux-mandrake men intet foresleg til at fjerne den. Panda fik jeg til at køre på serveren, men den fandt slet ingen virus, selvom den havde sidste nye virus.dat fil. Nu er spørgsmålet Har jeg virus eller ikke, og hvis jeg ikke har, hvad laver så den trafik på min router ? Et kig i task manageren på serveren, viser er CPU forbrug op 5-15% men jeg har ikke fornemmelsen af at der bliver arbejdet på harddisken. Jeg kan ivertigfalde ikke høre noget. Til sammenligning viser task manegeren på windows 2000 Pro kun et cpu forbrug på 2-5% og det er ellers med et par programmer i baggrunden
Jeg ved ikke, hvad en Linux-mandrake virus skulle være.
Hvis serveren ikke har virus, så kan det simpelthen skyldes tilfældig trafik udefra, altså fra andre computere, som sender requests til computeren, enten fordi de har virus eller fordi de prøver at scanne dig eller pinge dig eller andet.
Trafikken er der. For dig gælder det om at være sikret.
Harddisken behøver ikke nødvendigvis at køre fordi der passerer data. F.eks. sover harddisken trygt og roligt, når Windows 2000 bruges som router til en anden computer.
Du kan evt. prøve at tjekke dit netværk med en sikkerheds scanner: http://www.gfisoftware.com/lannetscan/index.htm Den er god til at finde huller i din server. Tjek på dit udvendige IP-nummer og tjek evt. andre computere i dit net. Men lad være med at bruge den på andre ude i samfundet. Det kunne være, du blev betragtet som en hacker.
Det kan også være CodeRed v. II eller III der er i gang med at connecte til andre computere. Du kan være blevet offer for en infektion. Kig efter filen Root.exe... Kig evt også efter forespørglser på filen default.ida. Du kan også lede efter filen explorer.exe i c:\ og d:\ mv.
Efter adskillige virus test, må jeg konstatere at min maskine IKKE har nogen virus. På et tidspunkt har jeg haft Linux Mandrake installeret på computeren, og om der så stadigvæk skulle ligge et spor efter den, ved jeg ikke. Men det kunne godt tyde på det, efterson on-line scaningen meldte om mandrake virus. Alt er opdateret fra windows update, så her er der heller ikke nogle mangler. Men jeg begriber ikke hvad der foregår... Hvis jeg rebooter maskinen, så går der nogle timer før trafikken begynder. Er der nogle der har et bud, nu hvor vi kan udelukke virus ??
Når virus er udelukket er der stadig to muligheder. Enten kører der noget på din computer, som laver forbindelse med sokker ud i samfundet. Eller også er det tilfældig aktivitet fra alle mulige syge computere, der hjemsøger din IP-adresse. Har du fast IP+ To ideer. 1) som tidligere foreslået installer Lockdown. Den kan dels fortælle dig nøjagtigt hvilke forbindelser der etableres til andre computere, og dels scanne for trojanske gyngeheste på computeren. Også når det er en server. 2) Prøve at installere en simpel firewall som Zonealarm. Du kan fjerne den igen bagefter. Den slår alarm og fortæller, når nogen prøver at etablere forbidnelse udefra. Hvis de henvender sig til dig og det ikke er på port 80, så har de ikke noget at gøre hos dig.
Problemet kan også være hvis du har installeret en ældre version af Zonelabs Zonealarm Pro... Det er i sidste måned opdaget en fejl i denne, som gør at det er muligt at udføre DoS (Denial of Service) forsøg via Zonealarm. Det er netop SYN statements der bruges til dette. Løsning på dette er at opdatre firewallen til en nyere version.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.