Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Under attack?

HalfPint
Yesterday morning we started seeing some unusual things at the firewall (7.502). The cpu usage went from minimal usage to about 20% usage, the external traffic went from peaks of up to 0.5 M, to running at 2.5 M outbound and 1.5 M inbound.  The internal and dmz connections still look basically normal.  The external connection stayed at those high levels overnight when no one was in the office.  Obviously, our internet connection is running _very_ slow.  

I'm trying to figure out what's happening.  If this were an attack I would expect the inbound traffic to be high and the outbound to be at the normal level.  Since the outbound is higher than the inbound, I'm wondering if the firewall has been compromised and is being used as a zombie or something.

Any suggestions on how I figure out what's going on is appreciated.

Larry


This thread was automatically locked due to age.
  • 0
    The firewall itself is not likely to be compromised, unless you have weak Webadmin and / or SSH passwords and leave such access wide open to the internet.  It sounds like you have something consuming a lot of traffic... I've seen different client apps cause this, such as adobe updater (10 machines firing off at once downloading the same package), and have seen the avira updater (for the avira AV client) go haywire when trying to update through the transparent proxy (one client was spawning 10 or more download sessons in the proxy, all at once, consuming the T1); discovering the net ranges used by the client and adding in bypass rules / exceptions solved that one.

    The long and short of it is that you will need to look at some logs (Proxy logs, packet filter logs) and probably use the realtime bandwidth monitor to see what is going on.
  • 0
    Maybe a recent configuration change was incorrect.  Try restoring a config backup from Monday.

    Cheers - Bob
  • 0 in reply to BAlfson
    I finally made enough noise to get our consultants to take a serious look at this issue.  They tried several things to no avail.  Finally they found a problem with the web proxy and things started working.  Or whomever was attacking us gave up.  Other than the cpu usage still being higher than "normal" everything seems to be back to about the way it was prior to this incident.

    I still wonder why the outbound traffic was so high.  I doubt I'll ever know.

    Thanks for your help.

    Larry
  • 0
    That would confirm my guess... Could you ask them what the problem was so that Astaro can prevent the configuration change?

    Thanks - Bob