---

Hejsa


Har nogen en ide til hvorfor en IIS 5 server står og sender
SYN_SENT pakker afsted -



--
jan@stevns.net - www.stevns.net

Besøg Dk.Fritid.Bil's hjemmesider på http://www.stevns.net/dkfritidbil

---

<jan@stevns.net> wrote in message
news:cvdqmtoqf2jiueqfoe6i121jkc4d9vop5q@news.tele.dk...
> Hejsa
>
>
> Har nogen en ide til hvorfor en IIS 5 server står og sender
> SYN_SENT pakker afsted -

Code red?`

---

"Bjarke Hansen" <bjarke_hansen@*REMOVE*spamfilter.dk> skrev :

>Code red?`

det var min første tanke, da der har været uønskede gæster forbi, jeg
kan dog ikke umiddelbart spore årsagen til serverens opførsel.

et styke ktid efter re-start begynder den åbenbart at sende pakker
afsted til vilkårlige addresser - og jeg har skisme ikke lyst til at
genere andre's servere.

NAV knne ikke se noget , ingen underlige filer nogen steder

netstat -a giver noget der ligner dette :

Active Connections

Proto Local Address Foreign Address State
TCP stevnsnt2000:echo stevnsnt2000:0 LISTENING
TCP stevnsnt2000:discard stevnsnt2000:0 LISTENING
TCP stevnsnt2000:daytime stevnsnt2000:0 LISTENING
TCP stevnsnt2000:qotd stevnsnt2000:0 LISTENING
TCP stevnsnt2000:chargen stevnsnt2000:0 LISTENING
TCP stevnsnt2000:ftp stevnsnt2000:0 LISTENING
TCP stevnsnt2000:nameserver stevnsnt2000:0 LISTENING
TCP stevnsnt2000:domain stevnsnt2000:0 LISTENING
TCP stevnsnt2000:http stevnsnt2000:0 LISTENING
TCP stevnsnt2000:epmap stevnsnt2000:0 LISTENING
TCP stevnsnt2000:microsoft-ds stevnsnt2000:0 LISTENING
TCP stevnsnt2000:printer stevnsnt2000:0 LISTENING
TCP stevnsnt2000:548 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1027 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1032 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1035 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1036 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1039 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1040 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:1042 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:3372 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:3389 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:4935 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:7119 stevnsnt2000:0 LISTENING
TCP stevnsnt2000:http
cpe.atm0-0-0-130261.bynxx3.customer.tele.dk:23567 TIME_WAIT
TCP stevnsnt2000:http 216.104.228.158:1321 TIME_WAIT


Underligt ???


--
jan@stevns.net - www.stevns.net

Besøg Dk.Fritid.Bil's hjemmesider på http://www.stevns.net/dkfritidbil

---

I artikel <t3hqmtsulku0f5g04hreqc89jl3q79hml8@news.tele.dk>, skrev "jan"
<jan@stevns.net>:

> "Bjarke Hansen" <bjarke_hansen@*REMOVE*spamfilter.dk> skrev :
>
>>Code red?`
>
> det var min første tanke, da der har været uønskede gæster forbi, jeg
> kan dog ikke umiddelbart spore årsagen til serverens opførsel.
Hvis der virkeligt har været uønskede gæster forbi plejer en formatering
og geninstallering at være end god ide.

---

<jan@stevns.net> wrote in message
news:t3hqmtsulku0f5g04hreqc89jl3q79hml8@news.tele.dk...
> "Bjarke Hansen" <bjarke_hansen@*REMOVE*spamfilter.dk> skrev :
>
> >Code red?`
>
> det var min første tanke, da der har været uønskede gæster forbi, jeg
> kan dog ikke umiddelbart spore årsagen til serverens opførsel.

Kunne du uddybe det med "uønskede gæster" - lyder for mig som om nogen har plantet
en trojan på din server eller CodeRed (har du opdateret med de sidste
sikkerhedspatches ?)

Prøv evt at stoppe alle services som du kan - og se hvad der sker !

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

---

"F.Larsen" <N0Spam@spamfilter.dk> skrev :

>Kunne du uddybe det med "uønskede gæster" - lyder for mig som om nogen har plantet
>en trojan på din server eller CodeRed (har du opdateret med de sidste
>sikkerhedspatches ?)

Når de der besøger siderne får en lakonisk besked med
"Fuck the US goverment" - så har der været nogen inde og pille
(Nogen eller noget)

Og jo - jeg har været i krig med at lappe (patche) serveren op - nu
ser det ud som om der er ro over feltet.

Derudover blev BlackIce Server defender lagt på - og den ser ud til at
fange en gedigen bunke angreb, og sende dem i det sorte hul.





--
jan@stevns.net - www.stevns.net

Besøg Dk.Fritid.Bil's hjemmesider på http://www.stevns.net/dkfritidbil

---

jan@stevns.net <jan@stevns.net> wrote:
> Derudover blev BlackIce Server defender lagt på - og den ser ud til at
> fange en gedigen bunke angreb, og sende dem i det sorte hul.

Baseret paa den netstat du smed ud tidligere ville din tid vaere bedre brugt
paa at lukke nogle af de unoedvendige services der koerer paa din maskine.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) skrev :

>Baseret paa den netstat du smed ud tidligere ville din tid vaere bedre brugt
>paa at lukke nogle af de unoedvendige services der koerer paa din maskine.

Øehh ja - der behøver jo ikke at køre mere end nødigt er - maskinen
kører primært web/ftp server og intet andet.

(og mht. tiden, så skulle der jo alligevel en servicepack2 på, jeg
plejer normalt at vente lidt med dem, for ta se om folk snakker om
problemer med de sp's)


--
jan@stevns.net - www.stevns.net

Besøg Dk.Fritid.Bil's hjemmesider på http://www.stevns.net/dkfritidbil