會員 ![]() | 為何我沒看網頁但port被開了1百多個.而且一直在傳送封包.這是發生啥事??? 這台SERVER我有架站但是沒去開網頁 但是我的訊息卻出現 而且一直傳送封包 當時又沒人上我的網站 怎會一直傳送封包出去哩??? 我想第一個就是中獎啦? 被駭客入侵當成跳板?擷取資料(我又沒啥機密)? 感覺好像是在掃的的PORT 可是掃PORT應該是傳進來資料 可是卻是傳出去大量的封包資料 哪位高手可以說明解釋?? 這樣事發生啥是阿?? 我ㄉ站是用WIN 2000 SERVER ASDL固定IP 有裝IP分享器(內建防火強) 還有灌BLACKICE監視PORT TCP 192.168.123.101:4903 139.106.47.76:80 SYN_SENT TCP 192.168.123.101:4904 37.64.128.198:80 SYN_SENT TCP 192.168.123.101:4905 88.129.35.140:80 SYN_SENT TCP 192.168.123.101:4907 74.14.165.205:80 SYN_SENT TCP 192.168.123.101:4908 205.96.154.207:80 SYN_SENT TCP 192.168.123.101:4909 85.42.9.238:80 SYN_SENT TCP 192.168.123.101:4910 82.194.162.221:80 SYN_SENT TCP 192.168.123.101:4911 137.202.189.178:80 SYN_SENT TCP 192.168.123.101:4912 3.254.69.227:80 SYN_SENT TCP 192.168.123.101:4913 201.207.142.192:80 SYN_SENT TCP 192.168.123.101:4914 109.126.198.207:80 SYN_SENT TCP 192.168.123.101:4915 144.237.167.135:80 SYN_SENT TCP 192.168.123.101:4916 125.187.46.204:80 SYN_SENT TCP 192.168.123.101:4917 134.105.199.253:80 SYN_SENT TCP 192.168.123.101:4918 165.241.181.152:80 SYN_SENT TCP 192.168.123.101:4919 139.41.28.103:80 SYN_SENT TCP 192.168.123.101:4920 5.32.89.210:80 SYN_SENT TCP 192.168.123.101:4921 171.75.163.99:80 SYN_SENT TCP 192.168.123.101:4922 154.15.9.132:80 SYN_SENT TCP 192.168.123.101:4923 144.85.85.30:80 SYN_SENT TCP 192.168.123.101:4924 199.3.64.185:80 SYN_SENT TCP 192.168.123.101:4925 16.166.164.254:80 SYN_SENT TCP 192.168.123.101:4926 58.21.13.238:80 SYN_SENT TCP 192.168.123.101:4927 211.72.52.39:80 SYN_SENT TCP 192.168.123.101:4928 214.63.76.151:80 SYN_SENT TCP 192.168.123.101:4929 207.9.250.184:80 SYN_SENT TCP 192.168.123.101:4930 25.160.101.109:80 SYN_SENT TCP 192.168.123.101:4931 101.11.184.160:80 SYN_SENT TCP 192.168.123.101:4932 177.75.48.31:80 SYN_SENT TCP 192.168.123.101:4933 105.73.125.121:80 SYN_SENT TCP 192.168.123.101:4934 52.101.2.84:80 SYN_SENT TCP 192.168.123.101:4935 177.164.126.178:80 SYN_SENT TCP 192.168.123.101:4936 201.62.139.170:80 SYN_SENT TCP 192.168.123.101:4937 200.46.30.146:80 SYN_SENT TCP 192.168.123.101:4938 50.171.131.22:80 SYN_SENT TCP 192.168.123.101:4939 198.207.167.69:80 SYN_SENT TCP 192.168.123.101:4940 21.115.32.100:80 SYN_SENT TCP 192.168.123.101:4941 55.247.143.118:80 SYN_SENT TCP 192.168.123.101:4942 222.20.239.16:80 SYN_SENT TCP 192.168.123.101:4943 100.181.57.19:80 SYN_SENT TCP 192.168.123.101:4944 21.217.109.145:80 SYN_SENT TCP 192.168.123.101:4945 125.173.50.58:80 SYN_SENT TCP 192.168.123.101:4946 65.46.99.237:80 SYN_SENT TCP 192.168.123.101:4947 52.169.216.197:80 SYN_SENT TCP 192.168.123.101:4948 141.72.85.98:80 SYN_SENT TCP 192.168.123.101:4952 209.136.209.84:80 SYN_SENT TCP 192.168.123.101:4953 146.223.251.94:80 SYN_SENT TCP 192.168.123.101:4954 110.239.189.39:80 SYN_SENT TCP 192.168.123.101:4955 32.228.232.204:80 SYN_SENT TCP 192.168.123.101:4956 130.92.169.206:80 SYN_SENT TCP 192.168.123.101:4957 82.96.83.106:80 SYN_SENT TCP 192.168.123.101:4960 100.56.65.236:80 SYN_SENT TCP 192.168.123.101:4962 172.217.116.10:80 SYN_SENT TCP 192.168.123.101:4963 58.68.176.132:80 SYN_SENT TCP 192.168.123.101:4965 186.110.69.240:80 SYN_SENT TCP 192.168.123.101:4966 9.130.190.165:80 SYN_SENT TCP 192.168.123.101:4967 145.196.81.189:80 SYN_SENT TCP 192.168.123.101:4968 163.158.206.82:80 SYN_SENT TCP 192.168.123.101:4970 222.66.71.139:80 SYN_SENT TCP 192.168.123.101:4971 167.195.2.225:80 SYN_SENT TCP 192.168.123.101:4973 6.106.17.126:80 SYN_SENT TCP 192.168.123.101:4974 40.234.102.59:80 SYN_SENT TCP 192.168.123.101:4976 201.19.149.73:80 SYN_SENT TCP 192.168.123.101:4980 222.132.138.250:80 SYN_SENT TCP 192.168.123.101:4981 151.219.93.149:80 SYN_SENT TCP 192.168.123.101:4982 119.166.47.155:80 SYN_SENT TCP 192.168.123.101:4983 59.82.78.195:80 SYN_SENT TCP 192.168.123.101:4984 99.138.255.154:80 SYN_SENT TCP 192.168.123.101:4985 218.163.163.221:80 SYN_SENT TCP 192.168.123.101:4986 56.240.77.228:80 SYN_SENT TCP 192.168.123.101:4987 110.42.242.215:80 SYN_SENT TCP 192.168.123.101:4988 218.77.112.203:80 SYN_SENT TCP 192.168.123.101:4989 16.133.171.214:80 SYN_SENT TCP 192.168.123.101:4990 56.236.138.250:80 SYN_SENT TCP 192.168.123.101:4991 56.106.222.35:80 SYN_SENT TCP 192.168.123.101:4992 218.177.252.209:80 SYN_SENT TCP 192.168.123.101:4994 158.17.211.51:80 SYN_SENT TCP 192.168.123.101:4995 90.239.13.214:80 SYN_SENT TCP 192.168.123.101:4996 108.221.110.248:80 SYN_SENT TCP 192.168.123.101:4998 215.56.140.212:80 SYN_SENT TCP 192.168.123.101:4999 19.114.213.57:80 SYN_SENT TCP 192.168.123.101:5000 120.119.63.219:80 SYN_SENT |
回覆 |
會員 ![]() | Re: 為何我沒看網頁但port被開了1百多個.而且一直在傳送封包.這是發生啥事??? 引用:
中了這兩天很多媒體都已經報導過的 code red worm, 請儘速安裝微軟提供的修正程式並且 reboot(這隻蟲只會存在記憶體, 不會感染硬碟上的檔案, 所以重新開機就可以暫時免除影響). 今天晚上單單在 Giga 已經找出了數百台的機器受到感染, 現在正陸續進行隔離中. 我不知道其它 ISP 的狀況如何, 但是這隻蟲對全球的網路流量都有不小的影響. | |
回覆 |
會員 ![]() | 天啊~~我就GIGAㄉ 今天網路一直無法上線 有撥接連上可是網路沒有通 打電話去GIGA問結果都在忙線中 GIGAㄉ服務專線(服務人員接聽的分機)很難接通 不知道是啥原因害我ㄉ網站一直斷線 ~~@__@~~~哀~~台灣的線路與ISP都沒有備援的計劃與設備嗎?? 不是中華電信維修換東西就是ISP換東西維修 上次承租空間因為中華電信維修更換設備結果(高雄中山機房) 一斷就是快一個禮拜~~(都沒配套措施) 原本說靠自己架站 結果還斷來斷去的~~ 自己架站好累啊~~~~~~軟硬體都要摸 還要去防那些無聊的駭客~~("害"死人的訪"客") 搞個網站好累啊~~~><~~~又沒賺錢~~@__@~~~ |
回覆 |
會員 ![]() | Re: 天啊~~我就GIGAㄉ 引用:
看起來你也是中標被暫時隔離的其中一個? 請靜候客服人員通知, 受影響的客戶有數百位, 一一電話通知需要花很多的時間. 這也是沒辦法的事, 繼續讓這些機器連在網路上會影響所有人正常使用 像 TANet 昨晚出國就整個癱瘓了, 到那種網路規模以後管理人員根本束手無策 | |
回覆 |
會員 ![]() | birdy590兄~我想你應該也是服務於ISP的公司ㄅ? 厲害你怎都知道阿?? GIGA處理哪些事情發生哪些是你都知道阿?? 連其他ISP你也有消息~~真靈通~ 可是中獎的是我 GIGA又沒辦法休補我的IIS這樣隔離有用嗎?? 昨天發生後我就關機斷線~不讓它們得逞 在開機後就沒事ㄌ 我才剛要去補漏洞而已 越來越討厭這些大陸人了 根本就是民族主義中毒太深啦 死命說要打美國~反美~~~ 我就不相信他們都沒用美國的產品~ 上次也是被串改網頁(也是針對美國)~~ GIGA是真ㄉ不錯啦~~固定IP~上傳下載又高 而且也很少斷線~~除了這依次沒通知外 而且1190元中華電信就給人家A了800元 用來用去還是都給中華電信給賺去ㄌ #$@$^@#$^@#~~~~~~~~~~ ![]() |
回覆 |
會員 ![]() | "Code Red"網蟲 最近網路上有一隻會自我繁殖入侵系統的惡意程式碼,在IIS伺服器所產生的安全性漏洞導致此一網蟲能輕易入侵沒有修補過的IIS WEB 伺服器,在CERT安全通報 CA-2001-13 Buffer Overflow In IIS Indexing Service DLL中有關於此漏洞的描述。目前已有超過 225,000 個主機被"Code Red" 網蟲所影響,且繼續擴散中。 被植入"Code Red"網蟲的受害主機會去掃瞄其它主機的 TCP port 80。發現對方主機有開啟 TCP port 80,接著送出 HTTP GET 等指令至對方主機,試著利用存在 Indexing Service 的 buffer overflow 漏洞進行入侵。此漏洞在CERT advisory CA-2001-13 有相關描述及修補方式。一旦入侵成功,網蟲會在受害者主機上自我繁殖,剛開始先找尋 C 磁碟下的 c:\notworm,如果找到有這個目錄,,網蟲就會停止執行;若找不到 c:\notworm,網蟲就會產生大量的執行序,亂數掃瞄 IP 位址那些有開啟TCP port 80的主機,入侵那些沒有安裝修補程式的 IIS WEB 伺服器。假如被入侵主機的語言版本為英文,在網路上掃瞄約百次後或隔一段時間進行更改網頁的動作,所有英文語系的網頁會被更改為以下訊息: HELLO! Welcome to http://www.worm.com! Hacked By Chinese! 若被植入網蟲的主機語言版本不是英文,網蟲會繼續掃瞄,入侵其它WEB 主機,且不會更改其網頁內容。 |
回覆 |
會員 ![]() | 我已經去修補這個漏洞可是還是有這一段程式碼沒關係嗎??? 如何判別電腦是否中了Code Red病毒: 於自己的電腦中搜尋有無下列的字串,若有,則表示可能已被入侵或曾被入侵過。 **找尋方式: 1. 於工作列執行「開始→搜尋→檔案或資料夾→內含文字」 2. 將下列字串(中毒Log內容)複製任一行貼至”內含文字”中 3. 搜尋目標為”所有硬碟” 4. 開始搜尋 **中毒Log內容: /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531 b%u53ff%u0078%u0000%u00=a 可是我修補完後再去查還是有這一段程式碼耶? 這樣算有修補成功嗎?? |
回覆 |
會員 ![]() | Re: 我已經去修補這個漏洞可是還是有這一段程式碼沒關係嗎??? 引用:
Giga 客服網頁上面寫的檢查方式是不正確的, 看看就算了 他們這兩天已經快被操到翻掉(共有超過千位客戶中獎), 要消化這些名單是得花上一段時間. 最早公布 code red worm 相關資訊的 eeye digital security(www.eeye.com)有一個程式可以用來掃瞄機器是否為 code red vulnerable, 可以在以下網址下載到 http://www.eeye.com/html/Research/To...RedScanner.exe 今天從 ISS 那邊聽到的小道清息, 台灣已經確定有上萬台機器遭到感染, 在全世界已經可以排到名次(這好像不是什麼好事?) TANet 對國外目前還是中斷的, 各大 ISP 的流量目前也還是有異常狀況. 建議各位如果有用 NT/2000+IIS 架設網站, 務必確定自己的機器已經做過修補動作. | |
回覆 |
會員 ![]() | 我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊 我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊 不過我倒是沒在看過異樣的情形ㄟ 不過總是毛毛ㄉ 因為還是查ㄉ到那一段程式碼 我應該怎摸做才好勒 ![]() |
回覆 |
會員 ![]() | Re: 我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊 引用:
請用上面貼的那個檢查程式測試一下, 沒問題就是安全了 微軟改這個 bug, eeye 出力也不少, 目前看到的測試就以這個最準 | |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。