Attacco Server di posta??

cagnaluia · 25-02-2009, 10:30

Ciao,

è da un paio di giorni che sul server di posta (Exchange2003) noto TROPPO traffico e questo rallenta mostruosamente tutta la rete.
Invece di avere un ping verso internet di 20/30ms... mi ritrovo ad averlo come media sui 1500ms...

ho fatto una scannata con wireshark.. se qualcuno volesse leggere e capire insieme a me quel che succede, sarebbe ottimo.

grazie.

cagnaluia · 25-02-2009, 11:08

ho bloccato, questi IP che causavano troppi movimenti.. però è servito solo momentamente... adesso a distanza di 30min.. sta tornando ad intasarsi.

91.63.55.158
88.68.141.71
84.175.102.14

cagnaluia · 25-02-2009, 11:15

e anche traffico da e verso questo 91.63.55.158

http://whois.domaintools.com/91.63.55.158

ma pare: Deutsche Telekom AG.... ??

ho stoppato tutti i servizi exchange server... pare si sia calmato..

non riesco quindi a capire se il problema PARTE da qua o ARRIVA da fuori...

W.S. · 25-02-2009, 11:18

Più che al server di posta è traffico del SNA server.. ne avete uno attivo? Vi serve? (parlo a caso, non so nemmeno cosa sia un SNA server e se sia collegato aexchange o meno)

per capire se è inizializzato da fuori o da dentro: vedi se nelle regole di natting c'è qualcosa che permette di creare connessioni da fuori verso la porta 1477 di 192.168.1.7, se si è possibile che sia inizializzata da fuori, altrimenti per forza da dentro.

c.m.g · 25-02-2009, 13:26

ho letto qualche giorno fa di una falla dei server exchange. se la trovo, la posto

http://secunia.com/advisories/produc...dvisories_2009

risulta patchata, prova con un aggiornamento e vedi se risolvi. per il resto segui i consigli che ti darà il nostro bravo W.S.

cagnaluia · 25-02-2009, 13:46

si, ho visto che c'era un aggiornamento nuovo e l'ho fatto.

però la situazione non è cambiata.

Nè il firewall, né exchangeserver 2003, né win server 2003 hanno subito modifiche o installato software che possa pensare all'installazione di trojan.. e compagnia bella... da molti anni ormai.
(meno che i soliti update di microsoft)...

beh.. prima di mezzogiorno ho bloccato anche gli ultimi IP che sembravano rompere le scatole...
(perfino richieste dal mio win server 2003 dalla porta 20 (?) viste da wireshark come FTP-DATA.. erano in comunicazione con l'esterno... )
Ho quindi anche stoppato il servizio FTP di IIS... (inutilmente.. il traffico continuava..)
Cmq.. bloccati dal firewall gli ultimi IP, è da due orette ormai che il traffico rimane sottocontrollo, senza nessun problema.

Però in effetti non saprei a cosa fanno riferimento questi IP, perchè il server ha una comunicazione con loro e perchè tutti dalla germania... boh

c.m.g · 27-02-2009, 10:19

non so se sia corretto ma magari quel server è entrato in una botnet che distribuisce spam, magari a seguito di sfruttamento di una falla non ancora scoperta, io passeresi nella sezione infetti per una controllatina

25-02-2009, 10:30	#1
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10888	Attacco Server di posta?? Ciao, è da un paio di giorni che sul server di posta (Exchange2003) noto TROPPO traffico e questo rallenta mostruosamente tutta la rete. Invece di avere un ping verso internet di 20/30ms... mi ritrovo ad averlo come media sui 1500ms... ho fatto una scannata con wireshark.. se qualcuno volesse leggere e capire insieme a me quel che succede, sarebbe ottimo. grazie. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS Ultima modifica di xcdegasp : 25-02-2009 alle 12:43. Motivo: immagine ridimensionata

25-02-2009, 11:08	#2
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10888	ho bloccato, questi IP che causavano troppi movimenti.. però è servito solo momentamente... adesso a distanza di 30min.. sta tornando ad intasarsi. 91.63.55.158 88.68.141.71 84.175.102.14 __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

25-02-2009, 11:15	#3
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10888	e anche traffico da e verso questo 91.63.55.158 http://whois.domaintools.com/91.63.55.158 ma pare: Deutsche Telekom AG.... ?? ho stoppato tutti i servizi exchange server... pare si sia calmato.. non riesco quindi a capire se il problema PARTE da qua o ARRIVA da fuori... __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

25-02-2009, 11:18	#4
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	Più che al server di posta è traffico del SNA server.. ne avete uno attivo? Vi serve? (parlo a caso, non so nemmeno cosa sia un SNA server e se sia collegato aexchange o meno) per capire se è inizializzato da fuori o da dentro: vedi se nelle regole di natting c'è qualcosa che permette di creare connessioni da fuori verso la porta 1477 di 192.168.1.7, se si è possibile che sia inizializzata da fuori, altrimenti per forza da dentro. __________________ [ W.S. ]

25-02-2009, 13:26	#5
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	ho letto qualche giorno fa di una falla dei server exchange. se la trovo, la posto http://secunia.com/advisories/produc...dvisories_2009 risulta patchata, prova con un aggiornamento e vedi se risolvi. per il resto segui i consigli che ti darà il nostro bravo W.S. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 25-02-2009 alle 13:30.

25-02-2009, 13:46	#6
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10888	si, ho visto che c'era un aggiornamento nuovo e l'ho fatto. però la situazione non è cambiata. Nè il firewall, né exchangeserver 2003, né win server 2003 hanno subito modifiche o installato software che possa pensare all'installazione di trojan.. e compagnia bella... da molti anni ormai. (meno che i soliti update di microsoft)... beh.. prima di mezzogiorno ho bloccato anche gli ultimi IP che sembravano rompere le scatole... (perfino richieste dal mio win server 2003 dalla porta 20 (?) viste da wireshark come FTP-DATA.. erano in comunicazione con l'esterno... ) Ho quindi anche stoppato il servizio FTP di IIS... (inutilmente.. il traffico continuava..) Cmq.. bloccati dal firewall gli ultimi IP, è da due orette ormai che il traffico rimane sottocontrollo, senza nessun problema. Però in effetti non saprei a cosa fanno riferimento questi IP, perchè il server ha una comunicazione con loro e perchè tutti dalla germania... boh __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

27-02-2009, 10:19	#7
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	non so se sia corretto ma magari quel server è entrato in una botnet che distribuisce spam, magari a seguito di sfruttamento di una falla non ancora scoperta, io passeresi nella sezione infetti per una controllatina __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email