Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 959 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Under attack?

HalfPint
Yesterday morning we started seeing some unusual things at the firewall (7.502). The cpu usage went from minimal usage to about 20% usage, the external traffic went from peaks of up to 0.5 M, to running at 2.5 M outbound and 1.5 M inbound.  The internal and dmz connections still look basically normal.  The external connection stayed at those high levels overnight when no one was in the office.  Obviously, our internet connection is running _very_ slow.  

I'm trying to figure out what's happening.  If this were an attack I would expect the inbound traffic to be high and the outbound to be at the normal level.  Since the outbound is higher than the inbound, I'm wondering if the firewall has been compromised and is being used as a zombie or something.

Any suggestions on how I figure out what's going on is appreciated.

Larry


This thread was automatically locked due to age.
Parents
  • 0
    The firewall itself is not likely to be compromised, unless you have weak Webadmin and / or SSH passwords and leave such access wide open to the internet.  It sounds like you have something consuming a lot of traffic... I've seen different client apps cause this, such as adobe updater (10 machines firing off at once downloading the same package), and have seen the avira updater (for the avira AV client) go haywire when trying to update through the transparent proxy (one client was spawning 10 or more download sessons in the proxy, all at once, consuming the T1); discovering the net ranges used by the client and adding in bypass rules / exceptions solved that one.

    The long and short of it is that you will need to look at some logs (Proxy logs, packet filter logs) and probably use the realtime bandwidth monitor to see what is going on.
Reply
  • 0
    The firewall itself is not likely to be compromised, unless you have weak Webadmin and / or SSH passwords and leave such access wide open to the internet.  It sounds like you have something consuming a lot of traffic... I've seen different client apps cause this, such as adobe updater (10 machines firing off at once downloading the same package), and have seen the avira updater (for the avira AV client) go haywire when trying to update through the transparent proxy (one client was spawning 10 or more download sessons in the proxy, all at once, consuming the T1); discovering the net ranges used by the client and adding in bypass rules / exceptions solved that one.

    The long and short of it is that you will need to look at some logs (Proxy logs, packet filter logs) and probably use the realtime bandwidth monitor to see what is going on.
Children
No Data