Netstat, connessioni SMTP e mail server

[ladyarwen]

Buongiorno a tutti!

da diversi giorni ormai, la mail della mia azienda ha dei problemi.
visto che ce ne occupiamo direttamente, vado a controllare (premettendo che di questa materia ne so veramente molto poco).
attualmente utilizziamo un mail server Merak (7.0) su SO Windows Server 2003

Dal monitor del mail server vedo decine di connessioni in SMTP da indirizzi sconosciuti che mandano a indirizzi sconosciuti. Spammers!!! cerco di metterli in blacklist, ma appena ne blocco uno (di indirizzo o di IP), ne arriva un altro.

dopo diverse peregrinazioni (a volte casuali) vado sulla shell e faccio un netstat dal quale risultano decine di connessioni del tipo

Proto: TCP
Local Address: il mio server, ognuna su una porta diversa
Foreign Address: sempre lo stesso indirizzo, 128.242.120.13:smpt
State: FIN_WAIT2

sono veramente decine di connessioni, mai visto. mi viene quindi in mente che possa essere sintomo del problema con la mail che ho. io fino ad ora pensavo che qualcuno stesse usando il nostro smtp avendo in qualche modo craccato una password di uno degli utenti - a questo punto invece penso che potrebbe esserci qualche virus/malware.

qualcuno ha avuto un'esperienza del genere? dove posso "mettere le mani"?
ora faccio fare una super scansione di tutto, ci sono dei tools appositi?

grazie mille a tutti, scusatemi se sono naif

[marcosx86]

Quindi metti in BL l'ip 128.242.120.13 e ne viene un altro, giusto?
Il fatto che ci siano tanti FIN_WAIT2 vuol dire che il server sta ancora attendendo la chiusura da parte del client.. che non avviene.
Potresti fare un riavvio del server per pulire il tutto.
Ma questo indirizzo ip si connette effettivamente a qualche account? Si autentica?