Avatar billede hinca Nybegynder
10. november 2002 - 07:32 Der er 23 kommentarer og
2 løsninger

Underlig trafik

Hjælp !!!
Efter at have rodet lidt med IIS 5 er min routers lamper begyndt at indikere at der er trafik, men jeg kan ikke finde ud af hvilken form for trafik det er.
Hvis jeg stopper web, ftp og smtp på serveren, så fortsætter trafikken. Men slukker jeg serveren helt, ja så holder lamperne op med at lyse.
Er der ikke nogen der kan hjælpe mig med dette ??
Avatar billede hinca Nybegynder
10. november 2002 - 07:34 #1
NB. Jeg skulle måske lige fortælle at jeg har en Cisco 677 router fra CC.
Avatar billede stoltenborg Nybegynder
10. november 2002 - 07:46 #2
Er der trafik når alle pc'ere er slukket, så det kun er routeren der er tændt ??

//Jan
Avatar billede hinca Nybegynder
10. november 2002 - 07:52 #3
Nej, kun når jeg har web serveren tændt
Jeg ved godt at routeren's lamper blinker engang imellem selvom der ikke er trafik. Men her er det "WAN ACT" der lyser hele tiden og "LAN ACT" blinker hurtigt
Avatar billede boris Mester
10. november 2002 - 08:30 #4
Hvis du kigger på loggen i IIS5, kan du se en masse requests med fejl. Mange af dem er formentlig fra computere med Nimda og lignende kryb. Hvis du ikke har de nyeste sikkerhedsopdateringer til IIS, får din egen server også selv orm.
Avatar billede boris Mester
10. november 2002 - 08:32 #5
Du bør faktisk slet ikke forbinde en IIS5 med internettet før den har fået sikekrhedsopdateringer. Det prøvede jeg for ½ år siden. Den var forbundet til lokalnetværk. Efter 5 minutter havde både server og en anden computer ca. 500 Nimda filer, som det tog 5 timer at kommeaf med.
Avatar billede hinca Nybegynder
10. november 2002 - 08:41 #6
IIS 5 er opdateret, og logfilerne indeholder kun mine egne request. Det må være noget andet der laver denne trafik. Er det evt. muligt med Network monitor at finde kilden til trafikken, eller skal der noget andet til
Avatar billede boris Mester
10. november 2002 - 10:42 #7
Logfilerne viser jo kun requests på hhv webserveren og ftp-serveren.
Der er mange tusind andre porte og mange andre protokoller.
Gå ind i DOS-prompten (kør -> cmd)
og skriv "netstat /a"
Eller:
Prøv med http://www.lockdowncorp.com/ f.eks. Lockdown, som kan
overvåge al netværkstrafik på alle porte og fortælle, hvem du er i kontakt med.
Hvis man skal have fuld udbytte af programmet koster det licens.
Avatar billede boris Mester
10. november 2002 - 10:44 #8
Og lav en virusscanning med f.eks. www.antivirus.dk .
Den finder evt. Nimda-kryb OG den virker i modsætning til mange andre virus-programmer også på rigtige servere.
Avatar billede boris Mester
10. november 2002 - 10:46 #9
Kør også virusscanning på de andre computere i netværket. Og så vil jeg i øvrigt - på baggrund af egne erfaringer - fraråde at have direkte filkontakt mellem webserveren og andre computere. Flyt filer på FTP i stedet, når du har brug for det. Fildeling er direkte adgang for enhver virus.
Avatar billede hinca Nybegynder
10. november 2002 - 10:56 #10
Jeg prøvede netstat /a og så skete der lidt..

--CUT--
TCP    server-1:3212          54.87.13.25:http      SYN_SENT
TCP    server-1:3213          135.215.240.102:http  SYN_SENT
TCP    server-1:3214          128.238.212.140:http  SYN_SENT
TCP    server-1:3215          205.93.89.218:http    SYN_SENT
TCP    server-1:3216          91.151.148.27:http    SYN_SENT
TCP    server-1:3217          22.161.80.148:http    SYN_SENT
TCP    server-1:3218          157.239.251.75:http    SYN_SENT
TCP    server-1:3219          122.161.28.45:http    SYN_SENT
TCP    server-1:3220          146.199.171.1:http    SYN_SENT
TCP    server-1:3221          108.80.91.187:http    SYN_SENT
TCP    server-1:3222          117.74.144.149:http    SYN_SENT
TCP    server-1:3223          57.132.136.210:http    SYN_SENT
TCP    server-1:3224          156.36.215.39:http    SYN_SENT
TCP    server-1:3225          97.53.125.127:http    SYN_SENT
TCP    server-1:3226          110.78.24.25:http      SYN_SENT
TCP    server-1:3228          147.172.65.139:http    SYN_SENT
TCP    server-1:3229          203.185.236.39:http    SYN_SENT
TCP    server-1:3230          121.190.21.29:http    SYN_SENT
TCP    server-1:3231          44.251.151.119:http    SYN_SENT
TCP    server-1:3232          5.146.2.37:http        SYN_SENT
TCP    server-1:3233          69.209.115.196:http    SYN_SENT
TCP    server-1:3234          60.65.35.188:http      SYN_SENT
TCP    server-1:3235          116.52.137.99:http    SYN_SENT
TCP    server-1:3236          21.101.151.162:http    SYN_SENT
TCP    server-1:3238          11.165.8.75:http      SYN_SENT
TCP    server-1:3239          172.221.216.112:http  SYN_SENT
TCP    server-1:3240          215.146.197.202:http  SYN_SENT
TCP    server-1:3241          158.232.5.115:http    SYN_SENT
TCP    server-1:3242          63.39.139.82:http      SYN_SENT
TCP    server-1:3243          209.235.148.64:http    SYN_SENT
TCP    server-1:3245          67.80.27.113:http      SYN_SENT
TCP    server-1:3246          139.195.166.100:http  SYN_SENT
TCP    server-1:3247          15.44.71.31:http      SYN_SENT
TCP    server-1:3248          183.167.149.74:http    SYN_SENT
TCP    server-1:3249          58.3.223.187:http      SYN_SENT
--CUT--

Men hvad pokker betyder det så ??  Er det søgerobotter der samler oplysninger, eller er det nogle der scanner mine porte ??
Avatar billede boris Mester
10. november 2002 - 11:13 #11
Det er ikke søgerobotter.
Med så mange adresser er det næppe een portscanner. Mere sandsynligt requests fra virus-computere.
Måske er det lige omvendt at din server scanner andre computere?
Skynd dig at få lavet en virus-scanning.
Avatar billede boris Mester
10. november 2002 - 11:16 #12
Hvis du har fået Nimba kan du nå at fjerne det. Men det breder sig hurtigt over hele computeren.
Avatar billede hinca Nybegynder
10. november 2002 - 16:43 #13
Hmm. Prøvede at hente forskellige virusprogrammer, men ingen af dem vil installere sig på Win2000 Server. Nogle der kender til er TRIAL/FREE server udgave ??
Avatar billede boris Mester
10. november 2002 - 17:29 #14
Som allerede sagt er fordelen ved en virusscanning fra www.antivirus.dk bl.a. at du kan køre den på en Windows 2000 server.  Det kan alm. virusprogrammer ikke. Men en online-scanning er glimrende her-og-nu.
Lockdown, som jeg også foreslog,  kan en masse ud over at overvåge porte og forhindre trojanske gedebukke, kan også installeres på 2000 server.
Avatar billede hinca Nybegynder
11. november 2002 - 05:39 #15
hmmm, efter en on-line scanning fik jeg at vide at der var 3 filer med virusen Linux-mandrake men intet foresleg til at fjerne den.
Panda fik jeg til at køre på serveren, men den fandt slet ingen virus, selvom den havde sidste nye virus.dat fil.
Nu er spørgsmålet Har jeg virus eller ikke, og hvis jeg ikke har, hvad laver så den trafik på min router ?
Et kig i task manageren på serveren, viser er CPU forbrug op 5-15% men jeg har ikke fornemmelsen af at der bliver arbejdet på harddisken. Jeg kan ivertigfalde ikke høre noget. Til sammenligning viser task manegeren på windows 2000 Pro kun et cpu forbrug på 2-5% og det er ellers med et par programmer i baggrunden
Avatar billede boris Mester
11. november 2002 - 06:33 #16
Jeg ved ikke, hvad en Linux-mandrake virus skulle være.

Hvis serveren ikke har virus, så kan det simpelthen skyldes tilfældig trafik udefra, altså fra andre computere, som sender requests til computeren, enten fordi de har virus eller fordi de prøver at scanne dig eller pinge dig eller andet.

Trafikken er der. For dig gælder det om at være sikret.

Harddisken behøver ikke nødvendigvis at køre fordi der passerer data.
F.eks. sover harddisken trygt og roligt, når Windows 2000 bruges som router til en anden computer.


Du kan evt. prøve at tjekke dit netværk med en sikkerheds scanner:
http://www.gfisoftware.com/lannetscan/index.htm
Den er god til at finde huller i din server. Tjek på dit udvendige IP-nummer og tjek evt. andre computere i dit net.
Men lad være med at bruge den på andre ude i samfundet. Det kunne være, du blev betragtet som en hacker.
Avatar billede angelone Nybegynder
11. november 2002 - 11:58 #17
Det kan også være CodeRed v. II eller III der er i gang med at connecte til andre computere. Du kan være blevet offer for en infektion. Kig efter filen Root.exe... Kig evt også efter forespørglser på filen default.ida. Du kan også lede efter filen explorer.exe i c:\ og d:\ mv.

Her der da da lidt du kan forsøge
Avatar billede boris Mester
11. november 2002 - 12:57 #18
Det kan sagtens være tilfældet. men i så fald er det ret underligt, at virusscanningen ikke har fundet det!
Avatar billede cdc Novice
11. november 2002 - 13:12 #19
fandt noget her resultat ved at søge på mandrake:
http://www.avp.ch/avpve/worms/linux/slapper.stm
Avatar billede cdc Novice
11. november 2002 - 13:13 #20
Avatar billede boris Mester
11. november 2002 - 13:33 #21
Jo. Men der står jo, at det er en Linux orm. Og her er der tale om en IIS5 server.
Mon ikke CodeRed er mere sandsynligt?
Her er en CodeRed-fjerner (Det kan være linket fylder over en linie på skærmen): http://securityresponse.symantec.com/avcenter/venc/data/codered.removal.tool.html
Avatar billede hinca Nybegynder
13. november 2002 - 18:11 #22
Efter adskillige virus test, må jeg konstatere at min maskine IKKE har nogen virus. På et tidspunkt har jeg haft Linux Mandrake installeret på computeren, og om der så stadigvæk skulle ligge et spor efter den, ved jeg ikke. Men det kunne godt tyde på det, efterson on-line scaningen meldte om mandrake virus.
Alt er opdateret fra windows update, så her er der heller ikke nogle mangler.
Men jeg begriber ikke hvad der foregår... Hvis jeg rebooter maskinen, så går der nogle timer før trafikken begynder.
Er der nogle der har et bud, nu hvor vi kan udelukke virus ??
Avatar billede boris Mester
13. november 2002 - 18:58 #23
Når virus er udelukket er der stadig to muligheder.
Enten kører der noget på din computer, som laver forbindelse med sokker ud i samfundet.
Eller også er det tilfældig aktivitet fra alle mulige syge computere, der hjemsøger din IP-adresse. Har du fast IP+
To ideer.
1) som tidligere foreslået installer Lockdown. Den kan dels fortælle dig nøjagtigt hvilke forbindelser der etableres til andre computere, og dels scanne for trojanske gyngeheste på computeren. Også når det er en server.
2) Prøve at installere en simpel firewall som Zonealarm. Du kan fjerne den igen bagefter. Den slår alarm og fortæller, når nogen prøver at etablere forbidnelse udefra. Hvis de henvender sig til dig og det ikke er på port 80, så har de ikke noget at gøre hos dig.
Avatar billede boris Mester
13. november 2002 - 18:58 #24
fast IP+ skulle være fast IP?
Avatar billede angelone Nybegynder
14. november 2002 - 11:47 #25
Problemet kan også være hvis du har installeret en ældre version af Zonelabs Zonealarm Pro... Det er i sidste måned opdaget en fejl i denne, som gør at det er muligt at udføre DoS (Denial of Service) forsøg via Zonealarm. Det er netop SYN statements der bruges til dette. Løsning på dette er at opdatre firewallen til en nyere version.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester