router log geeft steeds port 1031 floods weer - Privacy en beveiliging

woensdag 14 juli 2004 15:50

Acties:

Topicstarter

onze Barricade router geeft sinds vandaag de volgende logs weer:

07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.46, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.45, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.44, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.43, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.42, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.41, 137 (from ATM1 Outbound)
07/14/2004 05:41:31 **UDP flood** 192.168.2.10, 1031->> 143.251.59.40, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.39, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.38, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.37, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.36, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.35, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.34, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.33, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.32, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.31, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.30, 137 (from ATM1 Outbound)
07/14/2004 05:41:30 **UDP flood** 192.168.2.10, 1031->> 143.251.59.29, 137 (from ATM1 Outbound)
07/14/2004 05:41:29 **UDP flood** 192.168.2.10, 1031->> 143.251.59.28, 137 (from ATM1 Outbound)
07/14/2004 05:41:29 **UDP flood** 192.168.2.10, 1031->> 143.251.59.27, 137 (from ATM1 Outbound)

Het ip-adres 192.168.2.10 is onze windows 2003 Small business server.

Heeft iemand enig idee wat dit nu exact inhoudt?

woensdag 14 juli 2004 16:10

Acties:

lordgandalf

wat ik eruit kan op maken probeert iets op jullie server via UDP op poort 1031 een hele boel connecties te maken met 143.251.59.* op poort 137
Dus of er staat iets verkeerd ingesteld of je hebt iets van een viri of spyware op de server staan die connectie met buiten te maken.
Mijn advies is even kijken wat die server allemaal voor bedoeling heeft met die verbindingen want het lijkt me een services die niet goed ingesteld staat.
Dus even er achter komen wat er op poort 1031 draait en dan kijken of het nodig is.

volgens IANA is die poort voor

iad2 1031/udp BBN IAD

bron:ftp://ftp.iana.org/assignments/port-numbers

Heb je exchange geinstalleerd staan ik heb wat gegoogeld en kwam een post tegen waarin gezegd werd dat het mischien exchange was of een microsoft RPC service

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 14 juli 2004 16:16

Acties:

StruvusMaximus

Topicstarter

klopt, wij hebben exchange aan staan.

[ Voor 20% gewijzigd door StruvusMaximus op 14-07-2004 16:17 ]

woensdag 14 juli 2004 18:59

Acties:

BoGhi

netstat -ano, processID in de taakmanager opzoeken.

Programmers don't die. They GOSUB without RETURN