김황중 2015-09

드신거 같네요
서버가.......

보편적으로 이런 경우는 OS나 data 내에 상주한다고
일단은 바이러스 프로그램 돌려보고
업데이트 풀로 다 해주라고 권고 합니다.....^^





PS. 하지만 권고는 권고일뿐
서버내의 웹 혹은 해킹 소스가 박혀 있지 않아도
해커들의 놀이터에 해당 ip가 노출되는 경우
이놈저놈 찔러보게 되고
서버에는 문제가 없는데도 릴레이 되는것을
UTM 등은 서버에 문제가 있어서 생기는 현상이라 로그가 나오는 경우도 있더군요.

저의 경우는 세가지....
그냥 방치 하거나
해당 ip다 막아 버리거나
아니면.... 죽여야죠. 타켓ip를......ㅡ,.ㅜ(타켓이 해커일수도 아니면 자신처럼 선량한 머신일수도 있긴 합니다....^^;;;)



일단은 서버에서의 포트부터 차단해 보시는것은 어떨까요?
아니면 패킷 분석해보시는것도 하나의 방법이긴 하고.....^^

stone92 2015-09

UTM 장비의 룰이 어떻게 동작하느냐에 따라서 제각각 달라집니다.
어떤 경우에 발생하는지를 보는 것 보다는 UTM장비의 룰을 보시는것이 나으실 겁니다.
정상적인 접속도 저렇게 탐지하는 경우도 제법 됩니다.

회원K 2015-09

기본 rule인데, 저런식으로 탐지하더라구요.
트래픽은 정상 트래픽 같구요.

장규식 2015-09

계속되면 패킷까보는게 가장 확실할것으로 생각됩니다..ips에 해당 패킷 캡쳐하는 기능이 있지 않나요..

회원K 2015-09

패킷 캡춰기능이 있습니다...
에스원에 패킷을 까서 리포팅 하라고 시켜야 하겠네요.