cache loopt vol 3com firewall - Netwerken

vrijdag 9 juli 2004 09:28

Acties:

to the batmobile,let's go

Topicstarter

ff schetsje.

adsl modem -> 3com OC firewall DMZ -> HUB ->werkstations + win2k domeinserver

Ik krijg steeds de volgende melding in mijn logfile van de 3com;

07/09/2004 08:54:34.592 - The cache is full; over 2048 simultaneous connections; some will be dropped - Source:192.168.89.111, 4487, LAN - Destination:192.168.190.7, 445, WAN - -

Hierdoor klapt internet er dus steeds uit omdat er teveel verbindingen zijn.

Volgens de knowledgebase van 3com komt dit door de Code Red Worm, maar ik heb geen IIS draaien...

ik heb dat .111 ip-werkstation gescanned met Norton is safemode op virusen, maar niets kunnen vinden, ook op de win2k server is niets te vinden. We gebruiken Norton Corporate om centraal alles te scannen en die vind niets, maar ik blijf deze melding houden, met de standaard instellingen van de firewall.

Enige mogelijkheid om verbinding te blijven houden is de regel;

deny LAN 192.168.89.111 to * WAN

aan te maken zodat dat werkstation niets meer outbound kan doen, maar dat vind ik geen oplossing.

Iemand die me hiermee kan helpen?

[ Voor 6% gewijzigd door beschuitfluiter op 09-07-2004 09:29 ]

¯\_(ツ)_/¯

vrijdag 9 juli 2004 09:33

Acties:

weebl

YARR!

Staat er soms emule op een van die pc's?

vrijdag 9 juli 2004 09:35

Acties:

arjants

Heb je netbios misschien ook aanstaan op 192.168.89.111?

Ik denk toch dat je besmet bent met een worm o.i.d.
Post eens een netstat -a van die pc.

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

vrijdag 9 juli 2004 09:41

Acties:

Verwijderd

beschuitfluiter schreef op 09 juli 2004 @ 09:28:
ff schetsje.

adsl modem -> 3com OC firewall DMZ -> HUB ->werkstations + win2k domeinserver

Ik krijg steeds de volgende melding in mijn logfile van de 3com;

07/09/2004 08:54:34.592 - The cache is full; over 2048 simultaneous connections; some will be dropped - Source:192.168.89.111, 4487, LAN - Destination:192.168.190.7, 445, WAN - -

Hierdoor klapt internet er dus steeds uit omdat er teveel verbindingen zijn.

Volgens de knowledgebase van 3com komt dit door de Code Red Worm, maar ik heb geen IIS draaien...

ik heb dat .111 ip-werkstation gescanned met Norton is safemode op virusen, maar niets kunnen vinden, ook op de win2k server is niets te vinden. We gebruiken Norton Corporate om centraal alles te scannen en die vind niets, maar ik blijf deze melding houden, met de standaard instellingen van de firewall.

Enige mogelijkheid om verbinding te blijven houden is de regel;

deny LAN 192.168.89.111 to * WAN

aan te maken zodat dat werkstation niets meer outbound kan doen, maar dat vind ik geen oplossing.

Iemand die me hiermee kan helpen?

Destination 445 = cifs (common internet file system) is mogenlijk sasser of iets wat cifs gebruikt zie netstat -a op het betreffende werkstation

vrijdag 9 juli 2004 09:55

Acties:

beschuitfluiter

to the batmobile,let's go

Topicstarter

Afbeeldingslocatie: http://home.wanadoo.nl/e.vanseggelen/images/nedstat.JPG

¯\_(ツ)_/¯

vrijdag 9 juli 2004 10:02

Acties:

arjants

Dit kun je beter doen met:

cmd
c:
netstat -a >file.txt

Daarna met verkenner de tekstfile even posten. Is wat overzichtelijker

[ Voor 5% gewijzigd door arjants op 09-07-2004 10:02 . Reden: typo's ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

vrijdag 9 juli 2004 10:10

Acties:

Verwijderd

Hier is inderdaad niet zoveel te zien, kun je een lijst met actieve connecties produceren vanuit je firewall ? en anders wordt het snifferen.

vrijdag 9 juli 2004 10:16

Acties:

beschuitfluiter

to the batmobile,let's go

Topicstarter

uhm, ben ff aan het kijken in die firewall, maar kan zo niet vinden waar ik een lijst met actieve connecties kan fiksen... alleen welke IP's in mijn LAN een license hebben op die firewall. d'r kunnen er max 100 op nl.

Wat versta je onder snifferen?

¯\_(ツ)_/¯

vrijdag 9 juli 2004 10:28

Acties:

Verwijderd

beschuitfluiter schreef op 09 juli 2004 @ 10:16:
uhm, ben ff aan het kijken in die firewall, maar kan zo niet vinden waar ik een lijst met actieve connecties kan fiksen... alleen welke IP's in mijn LAN een license hebben op die firewall. d'r kunnen er max 100 op nl.

Wat versta je onder snifferen?

Een machine met ethereal tussen je firewall en je lan laten meekijken om te zien waar al je naar de firewall gaande connecties vandaan komen.

vrijdag 9 juli 2004 11:14

Acties:

beschuitfluiter

to the batmobile,let's go

Topicstarter

heb een machine die geïnfecteerd is met sasser

Ben nu bezig de removal tool te draaien op de machine en op de win2k server voor alle zekerheid...

Gebruiker heeft zeker de auto-update uitgezet of iets...

Nog tips waar ik nog rekening mee moet houden?

¯\_(ツ)_/¯

vrijdag 9 juli 2004 11:22

Acties:

Verwijderd

beschuitfluiter schreef op 09 juli 2004 @ 11:14:
heb een machine die geïnfecteerd is met sasser

Ben nu bezig de removal tool te draaien op de machine en op de win2k server voor alle zekerheid...

Gebruiker heeft zeker de auto-update uitgezet of iets...

Nog tips waar ik nog rekening mee moet houden?

ik zou wel proberen wat "ogen"in je netwerk te creëren zodat je hier de volgende keer (en die komt er geheid) veel sneller kunt handelen.

als er nog een infectie zou zijn die het totale aantal te screenen sessies niet op 2048 krijgt ga je het op deze manier nooit constateren.

Mischien moet je toch eens zoeken naar de mogenlijkheid tot het verkrijgen van een inspected sessions list uit je firewall, je ziet de problemen en vreemde dingen dan zo zitten. (ik gebruik zelf graag de nat translation tabel of de flow cache van cisco dozen om dit te doen)

en als dat echt niet kan toch een lappie met sniffer paraat houden. suc6

[ Voor 5% gewijzigd door Verwijderd op 09-07-2004 11:24 ]

vrijdag 9 juli 2004 14:45

Acties:

beschuitfluiter

to the batmobile,let's go

Topicstarter

wat voor specs heb je nodig om zo'n laptop te configureren?
En hoe moet ik dat precies doen?

heb nl nog een p1 133 laptopje liggen met pcmcia eth kaartje

[ Voor 15% gewijzigd door beschuitfluiter op 09-07-2004 14:52 ]

¯\_(ツ)_/¯

vrijdag 9 juli 2004 21:47

Acties:

Verwijderd

beschuitfluiter schreef op 09 juli 2004 @ 14:45:
wat voor specs heb je nodig om zo'n laptop te configureren?
En hoe moet ik dat precies doen?

heb nl nog een p1 133 laptopje liggen met pcmcia eth kaartje

dat zal het denk ik wel doen, een internet verbinding is meestal niet heel veel data, maar voor de exacte system req's kun je het beste even op

http://www.ethereal.com/

zoeken.

vrijdag 9 juli 2004 21:55

Acties:

tweakduke

Moderator General Chat / Wonen & Mobiliteit

beschuitfluiter schreef op 09 juli 2004 @ 11:14:
heb een machine die geïnfecteerd is met sasser

Ben nu bezig de removal tool te draaien op de machine en op de win2k server voor alle zekerheid...

Gebruiker heeft zeker de auto-update uitgezet of iets...

Nog tips waar ik nog rekening mee moet houden?

Je mag dan blij zijn dat je firewall eruit klapt

De meeste providers zijn niet blij met een sasser worm die flink aan de gang kan gaan..

Tweakers Discord

dinsdag 13 juli 2004 09:01

Acties:

beschuitfluiter

to the batmobile,let's go

Topicstarter

alles gefikst nu

heb 's avonds even alle netwerkkabels uit de hub gemikt en alles afgescanned/gecleaned/ge-update waar nodig. het was alleen dat werkstation gelukkig.

MAar bedankt voor de hulp! en die sniffer ga ik ook zeker nog een proberen denk ik, is altijd wel makkelijk

¯\_(ツ)_/¯