Ciao,

è da un paio di giorni che sul server di posta (Exchange2003) noto TROPPO traffico e questo rallenta mostruosamente tutta la rete.
Invece di avere un ping verso internet di 20/30ms... mi ritrovo ad averlo come media sui 1500ms...

ho fatto una scannata con wireshark.. se qualcuno volesse leggere e capire insieme a me quel che succede, sarebbe ottimo.

http://img18.imageshack.us/img18/2708/attaccoalieno.th.jpg (http://img18.imageshack.us/img18/2708/attaccoalieno.jpg)


grazie.

ho bloccato, questi IP che causavano troppi movimenti.. però è servito solo momentamente... adesso a distanza di 30min.. sta tornando ad intasarsi.

91.63.55.158
88.68.141.71
84.175.102.14

e anche traffico da e verso questo 91.63.55.158

http://whois.domaintools.com/91.63.55.158

ma pare: Deutsche Telekom AG.... ??


ho stoppato tutti i servizi exchange server... pare si sia calmato..

non riesco quindi a capire se il problema PARTE da qua o ARRIVA da fuori...

Più che al server di posta è traffico del SNA server.. ne avete uno attivo? Vi serve? (parlo a caso, non so nemmeno cosa sia un SNA server e se sia collegato aexchange o meno)

per capire se è inizializzato da fuori o da dentro: vedi se nelle regole di natting c'è qualcosa che permette di creare connessioni da fuori verso la porta 1477 di 192.168.1.7, se si è possibile che sia inizializzata da fuori, altrimenti per forza da dentro.

ho letto qualche giorno fa di una falla dei server exchange. se la trovo, la posto

http://secunia.com/advisories/product/1828/?task=advisories_2009


risulta patchata, prova con un aggiornamento e vedi se risolvi. per il resto segui i consigli che ti darà il nostro bravo W.S. ;)

si, ho visto che c'era un aggiornamento nuovo e l'ho fatto.

però la situazione non è cambiata.

Nè il firewall, né exchangeserver 2003, né win server 2003 hanno subito modifiche o installato software che possa pensare all'installazione di trojan.. e compagnia bella... da molti anni ormai.
(meno che i soliti update di microsoft)...


beh.. prima di mezzogiorno ho bloccato anche gli ultimi IP che sembravano rompere le scatole...
(perfino richieste dal mio win server 2003 dalla porta 20 (?) viste da wireshark come FTP-DATA.. erano in comunicazione con l'esterno... )
Ho quindi anche stoppato il servizio FTP di IIS... (inutilmente.. il traffico continuava..)
Cmq.. bloccati dal firewall gli ultimi IP, è da due orette ormai che il traffico rimane sottocontrollo, senza nessun problema.


Però in effetti non saprei a cosa fanno riferimento questi IP, perchè il server ha una comunicazione con loro e perchè tutti dalla germania... boh

non so se sia corretto ma magari quel server è entrato in una botnet che distribuisce spam, magari a seguito di sfruttamento di una falla non ancora scoperta, io passeresi nella sezione infetti (http://www.hwupgrade.it/forum/forumdisplay.php?f=125) per una controllatina