LAN-Client versucht, beim Start eine Verbindung zu vielen unbekannten IP-Adressen herzustellen

1

Ich habe eine Zywall 110 Firewall. Beim Durchsuchen der Protokolle wurden zufällige Häufungen von Verbindungsversuchen mit unbekannten externen IP-Adressen von einem einzelnen LAN-Clientcomputer angezeigt. Ich habe es bemerkt, weil ich eine Reihe von aufeinanderfolgenden sehen würde

Session Limit - Maximum session per host (1000) was exceeded. [count=x] localIP RemoteIP

Dies dauert ungefähr eine Minute und verursacht ungefähr 25 Meldungen pro Vorfall. Eine Benachrichtigung für jede externe IP, mit der versucht wird, eine Verbindung herzustellen.

Ich habe mit dem Terminalbetreiber gesprochen und das Timing scheint zu sein, wenn der Benutzer das Terminal neu startet und es zuerst wieder online geht. Ich habe Malware oder einen Virus vermutet, aber bei Scans wird nichts Verdächtiges gefunden.

Irgendwelche Ideen, was dies verursachen könnte, oder welche zusätzlichen Informationen muss ich zur Fehlerbehebung verwenden?

JadedCore
quelle
Virenscans erkennen nur bekannte Viren. Benutzerdefinierte Malware, die für einen gezielten Angriff entwickelt wurde, bleibt unbemerkt.
André Borie

Antworten:

0

Um einen fehlerhaft konfigurierten Netzwerkadapter auszuschließen, sollten Sie Folgendes tun: Angenommen, Sie haben einen USB- oder CD-Live-Boot, versuchen Sie, den Client live zu booten, und prüfen Sie, ob Sie das Verhalten replizieren können. Wenn nicht, verwenden Sie Wireshark, um die Verbindungen zu überwachen.

Welche Protokolle versucht der Client zu verwenden?

AdHominem
quelle