Instalé una nueva computadora portátil recientemente y, después de instalar varias herramientas para desarrolladores, comenzó a hacer que nuestros cortafuegos Sonicwall emitieran un correo electrónico de alerta cada vez que la computadora portátil se conectaba a la red. El mensaje (con una IP de origen modificada artísticamente) era:
"Alerta - Prevención de intrusiones - Se redujo el ataque de amplificación de pitufos - 192.168.1.19, 8, X1 - 255.255.255.255, 8"
Solo sucedió cuando la tarjeta NIC estaba habilitada y / o cuando se inició la computadora portátil.
Pasamos por varios intentos para ejecutar TCPView en la computadora portátil, buscando el tráfico del puerto 8 y monitoreando el dispositivo Sonicwall en busca de tráfico falso y no pudimos reducirlo. Arrancamos el CD de Microsoft Security Sweeper y ejecutamos escaneos, ejecutamos Malware Bytes, etc., tratando de averiguar si se había introducido algún malware en el sistema, pero todo salió limpio.
Una cosa que notamos cuando ejecutamos TCPView fue que el sistema parecía estar escuchando en el puerto 80. Inicialmente lo descarté porque había instalado Visual Studio 2010 y pensé que IIS Express o algo similar probablemente se estaba ejecutando. Anoche, sin embargo, hice clic derecho en una carpeta en el Explorador y noté una opción para insertar un XSP Web Server hay Una rápida búsqueda en Google me indicó qué era XSP y que era parte del IDE de MonoDevelop que se instaló recientemente para explorar el desarrollo de Mono.
Esta mañana desinstalé MonoDevelop y reinicié la computadora portátil y, sin embargo, llegó un correo electrónico de advertencia del dispositivo Sonicwall.
Quería que esta información se publicara para que otros que están luchando repentinamente con su departamento de TI por un "sistema potencialmente comprometido" puedan obtener una alerta sobre una posibilidad para las alertas. También tengo curiosidad por saber qué hace XSP (o MonoDevelop?) Durante la inicialización de la red que provoca la ira de Sonicwall.
Editar: Eliminando lo anterior. Aparentemente, no fue el servidor XSP el que causó el problema, ya que todavía ocurre cuando se conecta a la red. Modificó el título de la pregunta para reflejar esto.