Ho un utente sulla mia rete di lavoro che porta il suo laptop personale (macbook) per lavoro. Hanno avuto problemi di rete tremendamente lenti su tutto ciò che passava da quell'hub, quindi ho fatto un po 'di sniffing e controllo dei log sul mio firewall.
Sto mostrando centinaia (probabilmente andando verso migliaia ora) di pacchetti inviati dal suo computer al gateway / firewall ( watchguard firebox ). I pacchetti hanno tutti la stessa porta sorgente - 10101 - e sembrano incrementare la porta di destinazione di 25 ogni volta.
L'utente non è certamente abbastanza tecnico da aver intenzionalmente avviato una sorta di port scanner, il che mi porta a credere che ci sia qualcosa di buggato nel suo computer, o che ci sia una sorta di malware che cerca di creare buchi nella mia rete. Qualcuno ha qualche idea su cosa potrebbe causare questo tipo di traffico di rete? Dovrei essere preoccupato per questo?
Per riferimento, ecco come appaiono le stringhe del registro dalla mia interfaccia firewall:
2011-11-16 08:03:01 Deny 192.2.40.144 192.2.40.1 10101/tcp 63416 10101 1-PACNT Firebox Denied 64 64 (Unhandled Internal Packet-00) proc_id="firewall" rc="101" tcp_info="offset 11 S 293987549 win 192" Traffic
A partire da ora, la porta di destinazione (63416) è aumentata da 58300 a 63416.
Aggiornamento 1: Ho ricevuto aiuto nella chat che suggerisce che potrebbe trattarsi di un trojan che si trova nella sua installazione paralleli. Link: link