Licence Usage Exceeding 110% of User Count

Just so you know, once you get the problem solved of having unwanted "guests" on your network, the list of IPs for license usage won't be cleared immediately.  IPs remain on that list for a week since last contact was made, so you'll continue to get warning emails for a short while after you're all fixed.

I would go through logs on the astaro to try and find what and where these erroneous IPs are attempting to contact.  If you can find that, it would give you a more real time measure of how successful you're being with remediation.

Once you can pinpoint the source to one internal machine or devices, you'll want to find the misconfiguration that led to this problem and correct it.  It may even be wise to wipe that device and reconfigure from scratch.

With the large number of IPs involved, I'd guess that you've been added to a botnet and at least on of your machines has been rooted.  Look for unknown accounts on your machines and change any administrative passwords/accounts on everything.  If you have any packet filter rules allowing Any Internal machine-->Any Service-->WAN, change them to be more granular, only allowing specific internal IPs-->specific needed services-->WAN (at least temporarily).  

Maybe I missed it, but with your linux box being a torrent focal point and a file server (internet accessible?), you'll want to get that one scanned as well.

Just so you know, once you get the problem solved of having unwanted "guests" on your network, the list of IPs for license usage won't be cleared immediately.  IPs remain on that list for a week since last contact was made, so you'll continue to get warning emails for a short while after you're all fixed.

I would go through logs on the astaro to try and find what and where these erroneous IPs are attempting to contact.  If you can find that, it would give you a more real time measure of how successful you're being with remediation.

Once you can pinpoint the source to one internal machine or devices, you'll want to find the misconfiguration that led to this problem and correct it.  It may even be wise to wipe that device and reconfigure from scratch.

With the large number of IPs involved, I'd guess that you've been added to a botnet and at least on of your machines has been rooted.  Look for unknown accounts on your machines and change any administrative passwords/accounts on everything.  If you have any packet filter rules allowing Any Internal machine-->Any Service-->WAN, change them to be more granular, only allowing specific internal IPs-->specific needed services-->WAN (at least temporarily).  

Maybe I missed it, but with your linux box being a torrent focal point and a file server (internet accessible?), you'll want to get that one scanned as well.

Just so you know, once you get the problem solved of having unwanted "guests" on your network, the list of IPs for license usage won't be cleared immediately.  IPs remain on that list for a week since last contact was made, so you'll continue to get warning emails for a short while after you're all fixed.

I would go through logs on the astaro to try and find what and where these erroneous IPs are attempting to contact.  If you can find that, it would give you a more real time measure of how successful you're being with remediation.

Thanks for the reply 

I rebooted the Astaro box after everything I tried hoping it would stop me getting duplicate emails.

which log file do I need to look in?