Condividi:        

Server che cerca e cerca e cerca ...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Server che cerca e cerca e cerca ...

Postdi PaoloPCF » 05/09/03 08:09

Buongiorno a tutti,

ho un problema su un Win NT 4.0 Server (SP5).
Da quando si e' beccato (e che ho pulito) il famigerato BLAST ho scoperto che sta' cercando di collegarsi con degli indirizzi IP in modo sistematico, cioe' sta' cercando di collegarsi con tutti gli indirizzi IP esistenti.
Ha cominciato con 192.168.0.1, ha continuato con 192.168.0.2 e si e' fatto tutti i 255 IP.
Poi si e' fatto tutti gli 192.168.1.x, poi i 192.168.2.x, fatti tutti i 192.168.x.x e' passato ai 192.169.x.x.
Ora e' arrivato verso i 192.223.135.
Ho controllato i processi attivi e non mi sembra che ce ne siano di strani.
Ho fatto una verifica con l'ultimo aggiornamento MC Afee e non ho rilevato nulla di anomalo.

Tutto questo l'ho notato grazie al software WooWeb che viene utilizzato per il collegamento condiviso ad Internet.
Per ora ho filtrato tutte le chiamate che arrivano dal server e che sono dirette al Web ma vorrei capire che cosa le provoca.

Avete idee?

Grazie
Paolo T.
PaoloPCF
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 09:35

Sponsor
 

Postdi piercing » 06/09/03 14:03

Una SP6 già lo aiuterebbe... ;)

hai un antivirus installato sul server?

puoi spegnere il server per un pò di tempo per fare delle prove?

hai un'istanza di SQL server installata?

come vede internet questo server? con che tipologia di connessione?

per fare una prima scansione antivirus che non sporchi il registro ti consiglio il download dello Stinger dal sito http://vil.nai.com/vil/stinger/ . E' un eseguibile e ti controlla i 30 virus più classici... senza sporcare nulla...


PS: ho fatto l'ipotesi che si tratti di un server importante e non del pc di casa... visto il sistema operativo che monta...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi PaoloPCF » 08/09/03 13:35

Grazie x l'attenzione.

> Una SP6 già lo aiuterebbe...
E' innegabile che il SP6 migliorerebbe il sistema ma il problema in questione si presenta da circa una settimana... mi sembrerebbe strano se dipendesse dal "livello" SP5.

> hai un antivirus installato sul server?
Yes, MC Afee aggiornatissimo.


> puoi spegnere il server per un pò di tempo per fare delle prove?
Un po' di tempo ... potrei una mezz'oretta ... in orari extra lavoro (ma siccome gli straordinari non sono pagati)...

> hai un'istanza di SQL server installata?
Non in quel server (in un'altro PC della rete si).

> come vede internet questo server?
Il PC e' collegato fisicamente con il router ma il collegamento e' logicamente effettuato via un software che gira sul pc stesso.
Il software e' questo:
http://www.prosum.fr/wwp_E.html
nella versione precedente.
Emula un PC che fa' da ponte verso internet (effettua il NAT) e vale per questo server e per tutti gli altri PC della rete.

> con che tipologia di connessione?
HDSL.

>PS: ho fatto l'ipotesi che si tratti di un server importante e non del pc di casa... visto il sistema operativo che monta...
BINGO!!

Ho scaricato e usato Stinger, nulla di anomalo.
PaoloPCF
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 09:35

Postdi archimede » 08/09/03 13:46

archimede
Moderatore
 
Post: 2851
Iscritto il: 07/11/02 12:41
Località: Genova

Postdi piercing » 08/09/03 13:47

Quello che non mi convince è il fatto che con un router tu ti possa essere beccato BLASTER... non mi torna... a meno che sto router sia aperto come una mela... (il che non dovrebbe essere una condizione di default)

Potresti provare a fare un analisi dei pacchetti che vengono sparpagliati in rete... tra l'altro prova a fare un netstat -a da prompt per vedere se effettivamente "conversa" con qualche pc...

Non conosco in effetti se tale procedura di richieste tipo "cast" siano insite nel fatto che è un server.... tra l'altro è un PDC o uno stand-alone?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi PaoloPCF » 08/09/03 18:05

E' possibile che il router sia aperto come una mela, il mio predecessore li ha lasciati un po' di casini in giro ...

Ad ogni modo l'infezione da parte del virus e' stata rilevata.

[x Archimede:
Ho avuto problemi a Luglio e ferie ad Agosto, al mio ritorno (1 Settembre) ho trovato il virus che saltellava beato nell'HD.
Grazie al cielo sono iscritto al bollettino di Microsoft sulla sicurezza e l'installazione della patch e' stata tra le prime cose che ho fatto (sul server e su tutti gli altri PC della rete).
Grazie.]

Il server e' un PDC ma tanto non c'e' alcun reale dominio nella rete, tutti i PC (escluso questo server) sono configurati come appartenenti a vari WorkGroup.
Ho lasciato le cose come stavano quando ho preso in mano la rete, prima o dopo mettero' in piedi il dominio.

Paolo T.
PaoloPCF
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 09:35

Postdi PaoloPCF » 17/09/03 15:18

Da oggi se ne e' aggiunto un altro.

Cioe' c'e' un altro PC (adeguatamente patchato e antivirusato) che si e' messo a cercare...

Stesso comportamento del server.

A qualcuno viene in mente qualcosa?
Grazie
Paolo T.
PaoloPCF
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 09:35

Postdi PaoloPCF » 17/09/03 15:23

Missing:

SysOp Windows 2K Pro SP3.

Le ultime patch installate sono
http://www.microsoft.com/technet/securi ... 03-039.asp
e
http://www.microsoft.com/technet/securi ... 03-026.asp

L'utente in pratica usa solo IE 6.0, OE ed Office 97 oltre ai sw sviluppati internamente.
PaoloPCF
Utente Junior
 
Post: 35
Iscritto il: 23/06/03 09:35


Torna a Sicurezza e Privacy


Topic correlati a "Server che cerca e cerca e cerca ...":


Chi c’è in linea

Visitano il forum: Nessuno e 49 ospiti