Mi lagga il server

[ID-entity]

Windows 2000 server (aggiornato).


Da circa una settimana il server che gestisco lagga come mai prima. Il provider mi ha assicurato che non hanno diminuito la banda...

Cosa potrebbe essere? Ma soprattutto.. come me ne rendo conto?


Le cose che mi vengono in mente sono:

- Qualcuno lo sta usando come FTP WAREZ.
(però ho controllato che non gli accessi anonimi non siano abilitati sui siti FTP)

- Qualcuno sta usando il server di posta per SPAM di massa.
(però tempo fa rattoppai il mail server che era open realy... ora non più)

- Un VIRUS ruba risorse e banda.
(ho scaricato F-PROT tryal ed una scansoine ha rilevato virus solo nelle email in attesa di essere scaricate dagli utenti)




Che fareste al posto mio?


Grazie (help!)

[qnello]

Oltre al relay aperto del mail server puoi controllare i file di Log e vedere se c'è qualche anomalia.
In più nelle cartelle server smtp (CDONTS) per intenderci puoi vedere se c'è molta coda in uscita o file di log sono grossi di diemnsione. A me è capitato di aver chiuso il server di posta (non era open relay), il CDONTS è rimasto aperto è usavano il server per lo spam.
Altro non mi viene in mente
Ciao

[ozak]

Ciao

Recentemente è capitato anche ad una macchina che gestisco un prob simile, la causa ne era Gaobot .. diffusissimo in questo periodo, considera che questo worm ha doti stealth molto forti quindi da un antivirus normale può non essere individuato, prova col tool della Symantec che trovi qua

http://securityresponse.symantec.com...r/FxGaobot.exe

inoltre prova ad eseguire un da un promot dos il comando netstat -na

se vedi che hai un bel pò di sessioni "netbios ssn" in establish sulle più disparate porte, direi che la perdita di banda è ha causa di gaobot che ti ha zombificato la macchina è la sta usando per replicarsi in giro

Scaricati anche le pacth da MS se non lo avessi già fatto ...

Se invece hai fatto tutto questo ... non saprei !

[ID-entity]

Grazie.

Sto scansionando il sistema col tool per il Gaobot...


Intanto riporto in allegato i processi che leggo in corso sulla macchina... magari individuate qualcosa di strano.


Grazie ancora.

[seclimar]

di strani ce ne sono un sacco:
pulisci la cartella ESECUZIONE AUTOMATICA nel menu START

e

REGISTRO:
regedit.exe
1)local machine / software / microsoft / windows / current version / run
2)current user/ software / microsoft / windows / current version / run

togli TUTTO cio' che vedi li dentro ... se lo reputi pericoloso!
dei files che mi hai fatto vedere .. MOLTI li toglierei!

occhio a modificare cio' che non conosci ovviamente
cerca di capire che files sono

le precedenti due chiavi nel mio PC sono completamente PULITE !

[ID-entity]

lo startup è vuoto così come i tree che mi dici tranne che in

current user/ software / microsoft / windows / current version / run

c'è internat.exe che sembra essererelativo alle impostazioni lingua della tastiera...

[ID-entity]

Ho fatto un test di banda... sia in download che in upload... in download va benone... in upload... NO!

DL: 1564 Kbps
UL: 64 Kbps !!!


Ora vorrei capire se il provider ha limitato la banda/ha problemi di connessione... oppure è il server stesso che la usa a mia insaputa :S


Esiste un modo per controllare la banda in maniera pulita... cioè facendo in modo che eventuali programmi che la "succhiano" non influiscano sul test?


Grazie...

[seclimar]

se hai fatto quei test in vari momenti della giornata...
e mentre non stavi facendo altro (email ...aggiornamenti windows ecc...)
chiama il provider..
fatti spostare da un moderatore su "adsl e connettività..."
li trovi anche altri test piu' affidabili ....

[ID-entity]

Tramite CommView ho monitorato il traffico sulle varie porte prima di effettuare quel test.

CommView mostrava me connesso via Terminal Service come quello che occupava + banda... nient'altro di rilevante tranne qualche chiamata alla porta 80 ma di poco conto... sicuramente relative alla esclusivamente alla richiesta di pagine web dei siti.


A questo punto chiedo ad un moderatore di spostarmi nel forum Connettività. grazie

[seclimar]

ovviamente fai i test con terminal services spento !