為何我沒看網頁但port被開了1百多個.而且一直在傳送封包.這是發生啥事???



贊助商連結


頁 : [1] 2 3

kulo
2001-08-02, 03:25 AM
這台SERVER我有架站但是沒去開網頁
但是我的訊息卻出現
而且一直傳送封包
當時又沒人上我的網站
怎會一直傳送封包出去哩???
我想第一個就是中獎啦?
被駭客入侵當成跳板?擷取資料(我又沒啥機密)?
感覺好像是在掃的的PORT
可是掃PORT應該是傳進來資料
可是卻是傳出去大量的封包資料
哪位高手可以說明解釋??
這樣事發生啥是阿??

我ㄉ站是用WIN 2000 SERVER
ASDL固定IP
有裝IP分享器(內建防火強)
還有灌BLACKICE監視PORT




TCP 192.168.123.101:4903 139.106.47.76:80 SYN_SENT
TCP 192.168.123.101:4904 37.64.128.198:80 SYN_SENT
TCP 192.168.123.101:4905 88.129.35.140:80 SYN_SENT
TCP 192.168.123.101:4907 74.14.165.205:80 SYN_SENT
TCP 192.168.123.101:4908 205.96.154.207:80 SYN_SENT
TCP 192.168.123.101:4909 85.42.9.238:80 SYN_SENT
TCP 192.168.123.101:4910 82.194.162.221:80 SYN_SENT
TCP 192.168.123.101:4911 137.202.189.178:80 SYN_SENT
TCP 192.168.123.101:4912 3.254.69.227:80 SYN_SENT
TCP 192.168.123.101:4913 201.207.142.192:80 SYN_SENT
TCP 192.168.123.101:4914 109.126.198.207:80 SYN_SENT
TCP 192.168.123.101:4915 144.237.167.135:80 SYN_SENT
TCP 192.168.123.101:4916 125.187.46.204:80 SYN_SENT
TCP 192.168.123.101:4917 134.105.199.253:80 SYN_SENT
TCP 192.168.123.101:4918 165.241.181.152:80 SYN_SENT
TCP 192.168.123.101:4919 139.41.28.103:80 SYN_SENT
TCP 192.168.123.101:4920 5.32.89.210:80 SYN_SENT
TCP 192.168.123.101:4921 171.75.163.99:80 SYN_SENT
TCP 192.168.123.101:4922 154.15.9.132:80 SYN_SENT
TCP 192.168.123.101:4923 144.85.85.30:80 SYN_SENT
TCP 192.168.123.101:4924 199.3.64.185:80 SYN_SENT
TCP 192.168.123.101:4925 16.166.164.254:80 SYN_SENT
TCP 192.168.123.101:4926 58.21.13.238:80 SYN_SENT
TCP 192.168.123.101:4927 211.72.52.39:80 SYN_SENT
TCP 192.168.123.101:4928 214.63.76.151:80 SYN_SENT
TCP 192.168.123.101:4929 207.9.250.184:80 SYN_SENT
TCP 192.168.123.101:4930 25.160.101.109:80 SYN_SENT
TCP 192.168.123.101:4931 101.11.184.160:80 SYN_SENT
TCP 192.168.123.101:4932 177.75.48.31:80 SYN_SENT
TCP 192.168.123.101:4933 105.73.125.121:80 SYN_SENT
TCP 192.168.123.101:4934 52.101.2.84:80 SYN_SENT
TCP 192.168.123.101:4935 177.164.126.178:80 SYN_SENT
TCP 192.168.123.101:4936 201.62.139.170:80 SYN_SENT
TCP 192.168.123.101:4937 200.46.30.146:80 SYN_SENT
TCP 192.168.123.101:4938 50.171.131.22:80 SYN_SENT
TCP 192.168.123.101:4939 198.207.167.69:80 SYN_SENT
TCP 192.168.123.101:4940 21.115.32.100:80 SYN_SENT
TCP 192.168.123.101:4941 55.247.143.118:80 SYN_SENT
TCP 192.168.123.101:4942 222.20.239.16:80 SYN_SENT
TCP 192.168.123.101:4943 100.181.57.19:80 SYN_SENT
TCP 192.168.123.101:4944 21.217.109.145:80 SYN_SENT
TCP 192.168.123.101:4945 125.173.50.58:80 SYN_SENT
TCP 192.168.123.101:4946 65.46.99.237:80 SYN_SENT
TCP 192.168.123.101:4947 52.169.216.197:80 SYN_SENT
TCP 192.168.123.101:4948 141.72.85.98:80 SYN_SENT
TCP 192.168.123.101:4952 209.136.209.84:80 SYN_SENT
TCP 192.168.123.101:4953 146.223.251.94:80 SYN_SENT
TCP 192.168.123.101:4954 110.239.189.39:80 SYN_SENT
TCP 192.168.123.101:4955 32.228.232.204:80 SYN_SENT
TCP 192.168.123.101:4956 130.92.169.206:80 SYN_SENT
TCP 192.168.123.101:4957 82.96.83.106:80 SYN_SENT
TCP 192.168.123.101:4960 100.56.65.236:80 SYN_SENT
TCP 192.168.123.101:4962 172.217.116.10:80 SYN_SENT
TCP 192.168.123.101:4963 58.68.176.132:80 SYN_SENT
TCP 192.168.123.101:4965 186.110.69.240:80 SYN_SENT
TCP 192.168.123.101:4966 9.130.190.165:80 SYN_SENT
TCP 192.168.123.101:4967 145.196.81.189:80 SYN_SENT
TCP 192.168.123.101:4968 163.158.206.82:80 SYN_SENT
TCP 192.168.123.101:4970 222.66.71.139:80 SYN_SENT
TCP 192.168.123.101:4971 167.195.2.225:80 SYN_SENT
TCP 192.168.123.101:4973 6.106.17.126:80 SYN_SENT
TCP 192.168.123.101:4974 40.234.102.59:80 SYN_SENT
TCP 192.168.123.101:4976 201.19.149.73:80 SYN_SENT
TCP 192.168.123.101:4980 222.132.138.250:80 SYN_SENT
TCP 192.168.123.101:4981 151.219.93.149:80 SYN_SENT
TCP 192.168.123.101:4982 119.166.47.155:80 SYN_SENT
TCP 192.168.123.101:4983 59.82.78.195:80 SYN_SENT
TCP 192.168.123.101:4984 99.138.255.154:80 SYN_SENT
TCP 192.168.123.101:4985 218.163.163.221:80 SYN_SENT
TCP 192.168.123.101:4986 56.240.77.228:80 SYN_SENT
TCP 192.168.123.101:4987 110.42.242.215:80 SYN_SENT
TCP 192.168.123.101:4988 218.77.112.203:80 SYN_SENT
TCP 192.168.123.101:4989 16.133.171.214:80 SYN_SENT
TCP 192.168.123.101:4990 56.236.138.250:80 SYN_SENT
TCP 192.168.123.101:4991 56.106.222.35:80 SYN_SENT
TCP 192.168.123.101:4992 218.177.252.209:80 SYN_SENT
TCP 192.168.123.101:4994 158.17.211.51:80 SYN_SENT
TCP 192.168.123.101:4995 90.239.13.214:80 SYN_SENT
TCP 192.168.123.101:4996 108.221.110.248:80 SYN_SENT
TCP 192.168.123.101:4998 215.56.140.212:80 SYN_SENT
TCP 192.168.123.101:4999 19.114.213.57:80 SYN_SENT
TCP 192.168.123.101:5000 120.119.63.219:80 SYN_SENT

贊助商連結


birdy590
2001-08-02, 03:57 AM
最初由 kulo
這台SERVER我有架站但是沒去開網頁
但是我的訊息卻出現
而且一直傳送封包
當時又沒人上我的網站
怎會一直傳送封包出去哩???
我想第一個就是中獎啦?
被駭客入侵當成跳板?擷取資料(我又沒啥機密)?
感覺好像是在掃的的PORT
可是掃PORT應該是傳進來資料
可是卻是傳出去大量的封包資料
哪位高手可以說明解釋??
這樣事發生啥是阿??

我ㄉ站是用WIN 2000 SERVER
ASDL固定IP
有裝IP分享器(內建防火強)
還有灌BLACKICE監視PORT




中了這兩天很多媒體都已經報導過的 code red worm, 請儘速安裝微軟提供的修正程式並且 reboot(這隻蟲只會存在記憶體, 不會感染硬碟上的檔案, 所以重新開機就可以暫時免除影響).

今天晚上單單在 Giga 已經找出了數百台的機器受到感染, 現在正陸續進行隔離中.
我不知道其它 ISP 的狀況如何, 但是這隻蟲對全球的網路流量都有不小的影響.

kulo
2001-08-02, 01:32 PM
今天網路一直無法上線
有撥接連上可是網路沒有通
打電話去GIGA問結果都在忙線中
GIGAㄉ服務專線(服務人員接聽的分機)很難接通
不知道是啥原因害我ㄉ網站一直斷線
~~@__@~~~哀~~台灣的線路與ISP都沒有備援的計劃與設備嗎??
不是中華電信維修換東西就是ISP換東西維修
上次承租空間因為中華電信維修更換設備結果(高雄中山機房)
一斷就是快一個禮拜~~(都沒配套措施)
原本說靠自己架站
結果還斷來斷去的~~
自己架站好累啊~~~~~~軟硬體都要摸
還要去防那些無聊的駭客~~("害"死人的訪"客")
搞個網站好累啊~~~><~~~又沒賺錢~~@__@~~~

birdy590
2001-08-02, 04:10 PM
最初由 kulo
今天網路一直無法上線
有撥接連上可是網路沒有通
打電話去GIGA問結果都在忙線中
GIGAㄉ服務專線(服務人員接聽的分機)很難接通
不知道是啥原因害我ㄉ網站一直斷線
~~@__@~~~哀~~台灣的線路與ISP都沒有備援的計劃與設備嗎??
不是中華電信維修換東西就是ISP換東西維修
上次承租空間因為中華電信維修更換設備結果(高雄中山機房)
一斷就是快一個禮拜~~(都沒配套措施)
原本說靠自己架站
結果還斷來斷去的~~
自己架站好累啊~~~~~~軟硬體都要摸
還要去防那些無聊的駭客~~("害"死人的訪"客")
搞個網站好累啊~~~><~~~又沒賺錢~~@__@~~~


看起來你也是中標被暫時隔離的其中一個?
請靜候客服人員通知, 受影響的客戶有數百位, 一一電話通知需要花很多的時間.

這也是沒辦法的事, 繼續讓這些機器連在網路上會影響所有人正常使用
像 TANet 昨晚出國就整個癱瘓了, 到那種網路規模以後管理人員根本束手無策

kulo
2001-08-02, 07:59 PM
厲害你怎都知道阿??
GIGA處理哪些事情發生哪些是你都知道阿??
連其他ISP你也有消息~~真靈通~
可是中獎的是我
GIGA又沒辦法休補我的IIS這樣隔離有用嗎??
昨天發生後我就關機斷線~不讓它們得逞
在開機後就沒事ㄌ
我才剛要去補漏洞而已
越來越討厭這些大陸人了
根本就是民族主義中毒太深啦
死命說要打美國~反美~~~
我就不相信他們都沒用美國的產品~
上次也是被串改網頁(也是針對美國)~~
GIGA是真ㄉ不錯啦~~固定IP~上傳下載又高
而且也很少斷線~~除了這依次沒通知外
而且1190元中華電信就給人家A了800元
用來用去還是都給中華電信給賺去ㄌ
#$@$^@#$^@#~~~~~~~~~~:mad:

kulo
2001-08-02, 08:18 PM
最近網路上有一隻會自我繁殖入侵系統的惡意程式碼,在IIS伺服器所產生的安全性漏洞導致此一網蟲能輕易入侵沒有修補過的IIS WEB 伺服器,在CERT安全通報 CA-2001-13 Buffer Overflow In IIS Indexing Service DLL中有關於此漏洞的描述。目前已有超過 225,000 個主機被"Code Red" 網蟲所影響,且繼續擴散中。

被植入"Code Red"網蟲的受害主機會去掃瞄其它主機的 TCP port 80。發現對方主機有開啟 TCP port 80,接著送出 HTTP GET 等指令至對方主機,試著利用存在 Indexing Service 的 buffer overflow 漏洞進行入侵。此漏洞在CERT advisory CA-2001-13 有相關描述及修補方式。一旦入侵成功,網蟲會在受害者主機上自我繁殖,剛開始先找尋 C 磁碟下的 c:\notworm,如果找到有這個目錄,,網蟲就會停止執行;若找不到 c:\notworm,網蟲就會產生大量的執行序,亂數掃瞄 IP 位址那些有開啟TCP port 80的主機,入侵那些沒有安裝修補程式的 IIS WEB 伺服器。假如被入侵主機的語言版本為英文,在網路上掃瞄約百次後或隔一段時間進行更改網頁的動作,所有英文語系的網頁會被更改為以下訊息:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!



若被植入網蟲的主機語言版本不是英文,網蟲會繼續掃瞄,入侵其它WEB 主機,且不會更改其網頁內容。

kulo
2001-08-02, 10:05 PM
如何判別電腦是否中了Code Red病毒:

於自己的電腦中搜尋有無下列的字串,若有,則表示可能已被入侵或曾被入侵過。

**找尋方式:

1. 於工作列執行「開始→搜尋→檔案或資料夾→內含文字」
2. 將下列字串(中毒Log內容)複製任一行貼至”內含文字”中
3. 搜尋目標為”所有硬碟”
4. 開始搜尋

**中毒Log內容:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

可是我修補完後再去查還是有這一段程式碼耶?
這樣算有修補成功嗎??

birdy590
2001-08-03, 01:30 AM
最初由 kulo
如何判別電腦是否中了Code Red病毒:

於自己的電腦中搜尋有無下列的字串,若有,則表示可能已被入侵或曾被入侵過。

**找尋方式:

1. 於工作列執行「開始→搜尋→檔案或資料夾→內含文字」
2. 將下列字串(中毒Log內容)複製任一行貼至”內含文字”中
3. 搜尋目標為”所有硬碟”
4. 開始搜尋

**中毒Log內容:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

可是我修補完後再去查還是有這一段程式碼耶?
這樣算有修補成功嗎??


Giga 客服網頁上面寫的檢查方式是不正確的, 看看就算了
他們這兩天已經快被操到翻掉(共有超過千位客戶中獎), 要消化這些名單是得花上一段時間.

最早公布 code red worm 相關資訊的 eeye digital security(www.eeye.com)有一個程式可以用來掃瞄機器是否為 code red vulnerable, 可以在以下網址下載到

http://www.eeye.com/html/Research/Tools/CodeRedScanner.exe

今天從 ISS 那邊聽到的小道清息, 台灣已經確定有上萬台機器遭到感染, 在全世界已經可以排到名次(這好像不是什麼好事?) TANet 對國外目前還是中斷的, 各大 ISP 的流量目前也還是有異常狀況. 建議各位如果有用 NT/2000+IIS 架設網站, 務必確定自己的機器已經做過修補動作.

kulo
2001-08-03, 04:43 PM
我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
不過我倒是沒在看過異樣的情形ㄟ
不過總是毛毛ㄉ
因為還是查ㄉ到那一段程式碼
我應該怎摸做才好勒:(

birdy590
2001-08-03, 06:28 PM
最初由 kulo
我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
不過我倒是沒在看過異樣的情形ㄟ
不過總是毛毛ㄉ
因為還是查ㄉ到那一段程式碼
我應該怎摸做才好勒:(


請用上面貼的那個檢查程式測試一下, 沒問題就是安全了
微軟改這個 bug, eeye 出力也不少, 目前看到的測試就以這個最準