Eu tenho um Firewall Zywall 110. Durante a leitura dos logs, eu estava vendo explosões aleatórias de tentativas de conexão com endereços IP externos desconhecidos de um único computador cliente de rede local. Eu notei porque eu veria um número de sucessivas
Session Limit - Maximum session per host (1000) was exceeded. [count=x] localIP RemoteIP
Isso acontecerá por cerca de um minuto e causará cerca de 25 avisos por incidente. Um aviso para cada IP externo que está tentando se conectar.
Falei com o operador do terminal e o tempo parece ser quando o usuário reinicia o terminal e ele volta a ficar on-line pela primeira vez. Eu suspeitava de malware ou vírus, mas as verificações não revelam nada de suspeito.
Alguma idéia do que pode estar causando isso ou que informações adicionais eu preciso solucionar?
Para excluir um adaptador de rede mal configurado, faça o seguinte: Supondo que você tenha um USB ou CD de inicialização ativo, tente inicializar o cliente e ver se é possível replicar o comportamento. Se não, use wireshark para monitorar as conexões.
Quais protocolos o cliente está tentando usar?
Tags networking malware