阿雄
2001-10-14, 02:21 PM
我的作業系統是WinXP.一開機C:\WINDOWS\System32\SVCHOST.EXE 就會去存取網路.
曾經搜尋過幾篇文章.說明這個程式是微軟的.但有的是駭客植入的木馬.那要怎麼去判斷
要不要阻止它的網路存取?謝謝!
贊助商連結
曾經搜尋過幾篇文章.說明這個程式是微軟的.但有的是駭客植入的木馬.那要怎麼去判斷
要不要阻止它的網路存取?謝謝!
贊助商連結
|
贊助商連結 阿雄 2001-10-14, 02:21 PM 我的作業系統是WinXP.一開機C:\WINDOWS\System32\SVCHOST.EXE 就會去存取網路. 曾經搜尋過幾篇文章.說明這個程式是微軟的.但有的是駭客植入的木馬.那要怎麼去判斷 要不要阻止它的網路存取?謝謝! 贊助商連結 aday 2001-10-15, 12:49 AM 應可看到remote端是那個ip要連上你的svchost.exe檔; 是來自您內部區網,或您本身自己的電腦那應該就沒關係, 若是remote端是別人,那恐怕就.. 阿雄 2001-10-15, 10:17 AM 謝謝您的指教!小弟對於網路有點生疏.可以請您幫我看一下嗎?謝謝! http://home.pchome.com.tw/discover/grand002/svchost.jpg aday 2001-10-15, 02:28 PM 我的做法是 先設定區網為安全區域範圍 你灌的norton internet security 2002有個地方可設 假設您的區網是192.168.0.X 那麼您就設 網路:192.168.0.0 mask:255.255.0.0 以後.區網任何程式要通過server這台都沒問題, 會有問題的是,區網若有電腦要用瀏灠器進入別人ftp站時會進不去, 這時,在防火牆處增加一個規則,就是rmote端服務類別是ftp和ftp-data; 本地端服務任一即可,只是我不知這樣會否再造成安全上的疑慮 ezpeer也一樣,說實在的,我也還在學... 同理,您所信任的位置都可把它設為安全區域範圍, 以後您看到,類似上張圖的情形,都直接設個規則,全把他擋掉, 除非您有架站,如webserver,那麼就設個規則吧,讓別人可進來您的port80 我的做法是架個nat及dhcp,別人一進我port80立刻就連上 區網某台虛擬ip有架webserver的机器,這台机器非網域控制站,因此假設不信被駭,那就至少暫時不會駭到網域控制站那台吧! (不知我觀念對不對),當然,webserver也不會考慮用IIS了,否則每天都有搞不完的漏洞要填.. 前幾天我在server那台設資源分享,不久,打開那分享資料夾右鍵,內容,安全,權限, 赫然發現某位人兄也在裡面,而且名字還一大串,後來我發現可能是everyone這個群組在做怪 ,因此以後有資源分享就把everyone砍掉,可是過不久我想想,乾脆把網芳的功能都取消算了, 這樣一來就不會再被空連結了,只是...這樣一來也不用分享了, 我本來以為架防火牆可擋掉這,但駭客實在太勵害了... 所以server那台最大的安全就是提供最小的服務,也不要灌任何雜七八程式,(聽說 cuteftp,ws_ftp等程式要是有灌,又有駭客侵入,它的某些重要檔案會被駭客拿去參考) 而且萬一在網路上抓抓樂的程式有特落依就火大了 aday 2001-10-15, 02:38 PM 如果感染了CodeBlue網路蠕蟲病毒的話,在WIN2K“系統資訊”的“軟體環境”下的“啟動程式”中可以看到程式名稱為:Domain Manager (域名管理器)。該程式的具體指向是c:\svchost.exe, 該文件可以為所有的用戶來使用。 在系統的註冊表中增加了鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,其中有字元串鍵值Domain Manager, 該文件是引用的c:\svchost.exe。而SVCHOST.EXE文件還會創建一個腳本文件D.VBS, 被修改的系統會運行D.VBS。 該進程會啟動很多次,大量佔用系統記憶體,導致系統運行速度下降並引發系統癱瘓。系統的CPU佔用率有會達到100%, 而運行的程式svchost.exe佔用最多 阿雄 2001-10-16, 11:34 AM 謝謝您的指點.我在系統中找不到這些機碼值.最後試著把剛安裝完的WinXP(未安裝任何軟體)拿來試試.也是有svghost的問題(英文版也有).我猜是不是A7V-133 Raid-0 Promise FastTrak100 沒有合適的Driver.Windows回報問題所造成的.我再找個時間測試一下.不好意思.麻煩你了! pcsony 2001-10-18, 03:02 PM 可否解釋一下通訊協定 UDP 和 TCP 的不同 (在防火牆的設定) aday 2001-10-18, 11:10 PM 因自己錯誤的觀念,差點誤導了你 是這樣的 ip封包傳遞模式 1.unicast: 2.broadcast: 3.multicast: 其中multicast是用來傳遞給一群電腦使用,因此在封包表頭的目的位址,通常是一群電腦, 這種傳遞模式通常用作即時影音傳流很有效率(否則用unicast方式將耗費大量頻寛;), 你應該知道廣播位址為255.255.255.255吧?還有像127.0.0.1為迴路位址, 192.168.0.x和10.10.x.x可被當作私人虛擬位址,這些位址在internet都不會出現的, 因為這些位址在區域網路或個人主机都有其功用性, 現在224.x.y.z~239.x.y.z正是代表著multicast位址,而這些位置同樣也是只在區域網路會見到,而依照定址規則,這批位址被歸為 CLASS D 位址. 所以根據您你 第一張圖所示,這是個安全位置 若小弟所言有誤,請各位高手指正! 至於TCP和udp封包基本上的不同,在於 TCP封包連線是較可靠的,因為 他要和對方先做好一大堆的check(確認)與協調的工作,之後才真正傳輸,且當封包不幸遺失他會再重送(例如,A路由突然關机,TCP會再找b路由,總之會想辦法把任務逹成,代表性的TCP連線為webserver 而udp卻不用如此麻煩,因此他的功能僅止於記錄著封包來源端port和目的端的port, 幫助封包到逹對方IP位址時,知道要到對方那一個應用程式(即port)去處理, 不過他也有他存在的必要,例如dns server便用UDP連線, 試想若查詢DNS服務者眾多, 而用tcp連線,那DNS恐怕受不了,還有像路由器之間的交換資料常是週期性的事,若 這次傳送失敗,下次還會再來,因此便會用udp連線, 其它像multicast和broadcast也都是用UDP 因為TCP僅限於一對一的傳送方式(unicast). srobin 2003-08-14, 11:13 AM 我最近也發生雷同的問題, 我的作業系統為WinXP 最近在"工作管理員"中出現了四個"Svchost.exe"的檔案, 我試著將 它們都刪除(附註一)掉, 結果造成了"RPC功能被取消"...接著就出現 了"關機六十秒"的畫面, 這和"疾風病毒"是有關的嗎?? 我有裝Norton的防火牆本來沒事, 一關掉就出現了, 真是太奇怪了。 附註一:因為昨天8/13號才裝ADSL, 才裝好就似乎中了"疾風", 不過 我在Regedit 以及 工作管理員 中都沒看到病毒的踪蹤, 不 過有注意到工作管理員的 "svchost"似乎多了二個, 原本二 個.....所以請大家知道這問題者請回覆我, 謝謝。 TAIWAN 2003-08-14, 03:55 PM 最初由 srobin 發表 我最近也發生雷同的問題, 我的作業系統為WinXP 最近在"工作管理員"中出現了四個"Svchost.exe"的檔案, 我試著將 它們都刪除(附註一)掉, 結果造成了"RPC功能被取消"...接著就出現 了"關機六十秒"的畫面, 這和"疾風病毒"是有關的嗎?? 我有裝Norton的防火牆本來沒事, 一關掉就出現了, 真是太奇怪了。 附註一:因為昨天8/13號才裝ADSL, 才裝好就似乎中了"疾風", 不過 我在Regedit 以及 工作管理員 中都沒看到病毒的踪蹤, 不 過有注意到工作管理員的 "svchost"似乎多了二個, 原本二 個.....所以請大家知道這問題者請回覆我, 謝謝。 去年有個老病毒偽裝成 svchost 檔案會佔用 CPU 與 MEM 要防最近這個RPC WORM 需先好好設定一下網路通訊協定 ! 不見得要修補程式 只是灌好軟體預設值設定 真的麻煩先看一下 WINDOWS SYSTEM MENU 與修改一下預設值 如此而已 祝好運喔 ;) 60秒只要一開機快去將時鐘往前推成 2002 年就OK了 不過另一個修正的 RPC WORM 可不會有60 SEC 讓人有時間去修正時鐘的:D 另一個 RPC EORM 放送中 :D 新登場 :D |
|
|