[Exch2003] Aanval op de mailserver ?

Sinds vandaag hebben we een berg data richting onze mailserver gaan. Om gestoord van te worden. We hebben 5 (eigenlijk ip-adressen en aan 1 van die adressen hangt de mail server. Internet verkeer gaat een ander ip.
In ieder geval is de berg met data zo groot dat heel de internetverbinding dicht slipt. Ook de andere 2 webservers die op de overige ip-adressen draaien zijn niet bereikbaar. Als ik iis stop, dan kan men weer gewoon internet en is alles weer op en top. Als ik IIS weer start voor de webmail, slipt alles weer dicht.

Hier een piep klein stukje van m'n log:
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/logon_IE_top.gif - 443 - 80.108.227.228 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+Seekmo+10.0.345.0) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/bin/auth/owalogon.asp url=https://webmail.xxxxxxxx.nl/exchange/&reason=0 443 - 79.98.1.210 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Congoo+NetPass;+Media+Center+PC+3.0;+.NET+CLR+1.0.3705;+.NET+CLR+1.1.4322) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/icon-msg-signed-reply.gif - 443 - 85.3.247.181 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+BWCH30;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/minus.gif - 443 - 24.63.112.193 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+(R1+1.3)) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/minus.gif - 443 - 24.63.112.193 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+(R1+1.3)) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/bin/auth/owalogon.asp url=https://webmail.xxxxxxxx.nl/exchange/&reason=0 443 - 79.98.1.210 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+Congoo+NetPass;+Media+Center+PC+3.0;+.NET+CLR+1.0.3705;+.NET+CLR+1.1.4322) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/logon_IE_top.gif - 443 - 71.108.10.167 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+yplus+5.6.04b) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/minus.gif - 443 - 24.63.112.193 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+(R1+1.3)) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/minus.gif - 443 - 24.63.112.193 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+(R1+1.3)) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/logon_IE_top.gif - 443 - 213.96.47.119 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+1.1.4322;+InfoPath.1) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchweb/img/logon_Microsoft.gif - 443 - 80.108.227.228 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+Seekmo+10.0.345.0) 200 0 0
2007-11-27 21:16:00 W3SVC1 xxx.xxx.xxx.xxx GET /exchange/ - 443 - 172.188.56.34 Mozilla/4.0+(compatible;+MSIE+7.0;+AOL+9.0;+Windows+NT+5.1) 401 2 2148074254

Wat kan ik hier aan doen? De lijn is een 2mbit sdsl lijn van xs4all.

Wat ik trouwens ook nog even geprobeerd heb is een andere webserver (met https) aan het ipadres van de exchange te hangen. Echter is er dan niks aan de hand. Hangt ik de exchange server weer terug, dan heb ik ook de ellende weer terug. Lijkt er dus op dat er echt gezocht naar de exchange login pagina's en dingen.

Neej, volstrekt willekeurige ip-adressen.
Met netstat -a op de exchange server zie je verbindingen uit japan, oostenrijk etc etc

We hebben zelf geen mobile devices hier. En al helemaal niet in Japan, Polen, Oostenrijk en andere landen.