| 通过 Netstat命令发现服务器被连接到别人的80端口, 在线等待,^^^^^ |
| [ 来源:ITWENKU 时间:2007-3-20 15:45:31 | 浏览:318人次
] |
| |
|
我的web服务器,今天通过netstat -an查看时 发现有如下可疑连接:
TCP 124.42.8.89:2473218.28.204.139:80IME_WAIT
TCP 124.42.8.89:2474218.28.204.139:80IME_WAIT
TCP 124.42.8.89:2475218.28.204.139:80IME_WAIT
TCP 124.42.8.89:2476218.28.204.139:80IME_WAIT
TCP 124.42.8.89:2477218.28.204.139:80IME_WAIT
TCP 124.42.8.89:2478218.28.204.139:80IME_WAIT
我重新启动系统后用马上通过netstat -an查看没有发现此连接,但过了约1分钟左右查看,又出现此连接(我没有打开IE浏览器访问218.28.204.139和其它任何网站), 状态都是IME_WAIT
我怀疑是不是我们的服务器已经被当成了肉鸡 所以才一直连接在别人的80端口
但我的服务器安全方面做得还算可以,检查后好象并没发现中毒或成肉鸡,服务器运行也很正常
请各位老师赐教, 万分感谢!!!
顶
你都说你的是WEB服务器了,连到你的80端口不是很正常的吗
to:acura(Forever(向红星努力!))
谢谢答复,请认真看内容,不是别人连我的80,是我的电脑自动能到别人的80
顶起来!!!!!!!!!!
这个应该是微软 的update 站点
你可以在机器抓包分析看看
看下启动项和服务
有可疑的没。
杀毒软件没查出毒不代表没被中。
可能是被挂马了
·您所查询的IP地址: 218.28.204.139
·该IP查询物理定位: 河南省许昌市 网通
如果没有rootkit的情况下,用taskmgr可以查看一下都有什么程序在运行,另外要检查所有的自动启动项
不妨去下载一个Ethereal(www.ethereal.com)截取数据包看一下
另外如果怀疑有rootkit的话,可以去www.sysinternals.com下载一个RootkitRevealer
河南省许昌市网通IDC机房,查吧,肯定是木马类的东西
中马了。或者一些广告的间谍软件。。。。。。。。
如果是xp或者2003的话
netstat -ano
看看是什么进程在进行这个网络连接,
当然也可以借助fport类的工具...
然后就是用一些检测工具+手工检测+抓包分析
|
|
 |
推荐文章 |
|
