Volker Heiner
2009-01-16 10:03:01 UTC
Hallo,
wir haben folgendes Problem.
unsere Firewall meldet, dass ein W2k SP4 DE Server versucht sich zu unserem
Mail Provider zu connecten um über POP3 mails zu ordern.
Der normale Fall ist, dass alle Server über unseren Virtuellen SNMP Server
die Mails und Alarms versenden und wir lokal an den WS per Outlook die Mails
empfangen und versenden.
Die Server selbst empfangen keine Mails, Sie senden nur über Smtp wenn
überhaupt.
Mit den verschiedenen Prgs wie Active Ports usw. ist kein Aufbau der
Verbindung zu sehen. An der Firewall sieht man das alle Min mit immer
verschiedenen Ports etwas versucht sich mit dem externen Mailprovider zu
verbinden.
Das einzige Tool wo dies bemerkt ist Wireshark. Doch auch dieses liefert
nicht die Aussage welches Phantom dies verursacht.
Registry und Programme durchsucht - kein Ergebnis.
Die Unterschiede zu den anderen Servern (die normal funktionieren)
herausgesucht und speziell überprüft. NICHTS !!!
Nach Rootkit und Virenscanner laufen lassen. Nichts.
Es ist wie gesagt erst aufgetreten , wie den Servern (auf der Firewall)
verboten wurde direkt zu senden.
Wie kann ich herausfinden welches Prg das verursacht.
Danke im voraus
Volker Heiner
wir haben folgendes Problem.
unsere Firewall meldet, dass ein W2k SP4 DE Server versucht sich zu unserem
Mail Provider zu connecten um über POP3 mails zu ordern.
Der normale Fall ist, dass alle Server über unseren Virtuellen SNMP Server
die Mails und Alarms versenden und wir lokal an den WS per Outlook die Mails
empfangen und versenden.
Die Server selbst empfangen keine Mails, Sie senden nur über Smtp wenn
überhaupt.
Mit den verschiedenen Prgs wie Active Ports usw. ist kein Aufbau der
Verbindung zu sehen. An der Firewall sieht man das alle Min mit immer
verschiedenen Ports etwas versucht sich mit dem externen Mailprovider zu
verbinden.
Das einzige Tool wo dies bemerkt ist Wireshark. Doch auch dieses liefert
nicht die Aussage welches Phantom dies verursacht.
Registry und Programme durchsucht - kein Ergebnis.
Die Unterschiede zu den anderen Servern (die normal funktionieren)
herausgesucht und speziell überprüft. NICHTS !!!
Nach Rootkit und Virenscanner laufen lassen. Nichts.
Es ist wie gesagt erst aufgetreten , wie den Servern (auf der Firewall)
verboten wurde direkt zu senden.
Wie kann ich herausfinden welches Prg das verursacht.
Danke im voraus
Volker Heiner