為何我沒看網頁但port被開了1百多個.而且一直在傳送封包.這是發生啥事???
這台SERVER我有架站但是沒去開網頁
但是我的訊息卻出現
而且一直傳送封包
當時又沒人上我的網站
怎會一直傳送封包出去哩???
我想第一個就是中獎啦?
被駭客入侵當成跳板?擷取資料(我又沒啥機密)?
感覺好像是在掃的的PORT
可是掃PORT應該是傳進來資料
可是卻是傳出去大量的封包資料
哪位高手可以說明解釋??
這樣事發生啥是阿??
我ㄉ站是用WIN 2000 SERVER
ASDL固定IP
有裝IP分享器(內建防火強)
還有灌BLACKICE監視PORT
TCP 192.168.123.101:4903 139.106.47.76:80 SYN_SENT
TCP 192.168.123.101:4904 37.64.128.198:80 SYN_SENT
TCP 192.168.123.101:4905 88.129.35.140:80 SYN_SENT
TCP 192.168.123.101:4907 74.14.165.205:80 SYN_SENT
TCP 192.168.123.101:4908 205.96.154.207:80 SYN_SENT
TCP 192.168.123.101:4909 85.42.9.238:80 SYN_SENT
TCP 192.168.123.101:4910 82.194.162.221:80 SYN_SENT
TCP 192.168.123.101:4911 137.202.189.178:80 SYN_SENT
TCP 192.168.123.101:4912 3.254.69.227:80 SYN_SENT
TCP 192.168.123.101:4913 201.207.142.192:80 SYN_SENT
TCP 192.168.123.101:4914 109.126.198.207:80 SYN_SENT
TCP 192.168.123.101:4915 144.237.167.135:80 SYN_SENT
TCP 192.168.123.101:4916 125.187.46.204:80 SYN_SENT
TCP 192.168.123.101:4917 134.105.199.253:80 SYN_SENT
TCP 192.168.123.101:4918 165.241.181.152:80 SYN_SENT
TCP 192.168.123.101:4919 139.41.28.103:80 SYN_SENT
TCP 192.168.123.101:4920 5.32.89.210:80 SYN_SENT
TCP 192.168.123.101:4921 171.75.163.99:80 SYN_SENT
TCP 192.168.123.101:4922 154.15.9.132:80 SYN_SENT
TCP 192.168.123.101:4923 144.85.85.30:80 SYN_SENT
TCP 192.168.123.101:4924 199.3.64.185:80 SYN_SENT
TCP 192.168.123.101:4925 16.166.164.254:80 SYN_SENT
TCP 192.168.123.101:4926 58.21.13.238:80 SYN_SENT
TCP 192.168.123.101:4927 211.72.52.39:80 SYN_SENT
TCP 192.168.123.101:4928 214.63.76.151:80 SYN_SENT
TCP 192.168.123.101:4929 207.9.250.184:80 SYN_SENT
TCP 192.168.123.101:4930 25.160.101.109:80 SYN_SENT
TCP 192.168.123.101:4931 101.11.184.160:80 SYN_SENT
TCP 192.168.123.101:4932 177.75.48.31:80 SYN_SENT
TCP 192.168.123.101:4933 105.73.125.121:80 SYN_SENT
TCP 192.168.123.101:4934 52.101.2.84:80 SYN_SENT
TCP 192.168.123.101:4935 177.164.126.178:80 SYN_SENT
TCP 192.168.123.101:4936 201.62.139.170:80 SYN_SENT
TCP 192.168.123.101:4937 200.46.30.146:80 SYN_SENT
TCP 192.168.123.101:4938 50.171.131.22:80 SYN_SENT
TCP 192.168.123.101:4939 198.207.167.69:80 SYN_SENT
TCP 192.168.123.101:4940 21.115.32.100:80 SYN_SENT
TCP 192.168.123.101:4941 55.247.143.118:80 SYN_SENT
TCP 192.168.123.101:4942 222.20.239.16:80 SYN_SENT
TCP 192.168.123.101:4943 100.181.57.19:80 SYN_SENT
TCP 192.168.123.101:4944 21.217.109.145:80 SYN_SENT
TCP 192.168.123.101:4945 125.173.50.58:80 SYN_SENT
TCP 192.168.123.101:4946 65.46.99.237:80 SYN_SENT
TCP 192.168.123.101:4947 52.169.216.197:80 SYN_SENT
TCP 192.168.123.101:4948 141.72.85.98:80 SYN_SENT
TCP 192.168.123.101:4952 209.136.209.84:80 SYN_SENT
TCP 192.168.123.101:4953 146.223.251.94:80 SYN_SENT
TCP 192.168.123.101:4954 110.239.189.39:80 SYN_SENT
TCP 192.168.123.101:4955 32.228.232.204:80 SYN_SENT
TCP 192.168.123.101:4956 130.92.169.206:80 SYN_SENT
TCP 192.168.123.101:4957 82.96.83.106:80 SYN_SENT
TCP 192.168.123.101:4960 100.56.65.236:80 SYN_SENT
TCP 192.168.123.101:4962 172.217.116.10:80 SYN_SENT
TCP 192.168.123.101:4963 58.68.176.132:80 SYN_SENT
TCP 192.168.123.101:4965 186.110.69.240:80 SYN_SENT
TCP 192.168.123.101:4966 9.130.190.165:80 SYN_SENT
TCP 192.168.123.101:4967 145.196.81.189:80 SYN_SENT
TCP 192.168.123.101:4968 163.158.206.82:80 SYN_SENT
TCP 192.168.123.101:4970 222.66.71.139:80 SYN_SENT
TCP 192.168.123.101:4971 167.195.2.225:80 SYN_SENT
TCP 192.168.123.101:4973 6.106.17.126:80 SYN_SENT
TCP 192.168.123.101:4974 40.234.102.59:80 SYN_SENT
TCP 192.168.123.101:4976 201.19.149.73:80 SYN_SENT
TCP 192.168.123.101:4980 222.132.138.250:80 SYN_SENT
TCP 192.168.123.101:4981 151.219.93.149:80 SYN_SENT
TCP 192.168.123.101:4982 119.166.47.155:80 SYN_SENT
TCP 192.168.123.101:4983 59.82.78.195:80 SYN_SENT
TCP 192.168.123.101:4984 99.138.255.154:80 SYN_SENT
TCP 192.168.123.101:4985 218.163.163.221:80 SYN_SENT
TCP 192.168.123.101:4986 56.240.77.228:80 SYN_SENT
TCP 192.168.123.101:4987 110.42.242.215:80 SYN_SENT
TCP 192.168.123.101:4988 218.77.112.203:80 SYN_SENT
TCP 192.168.123.101:4989 16.133.171.214:80 SYN_SENT
TCP 192.168.123.101:4990 56.236.138.250:80 SYN_SENT
TCP 192.168.123.101:4991 56.106.222.35:80 SYN_SENT
TCP 192.168.123.101:4992 218.177.252.209:80 SYN_SENT
TCP 192.168.123.101:4994 158.17.211.51:80 SYN_SENT
TCP 192.168.123.101:4995 90.239.13.214:80 SYN_SENT
TCP 192.168.123.101:4996 108.221.110.248:80 SYN_SENT
TCP 192.168.123.101:4998 215.56.140.212:80 SYN_SENT
TCP 192.168.123.101:4999 19.114.213.57:80 SYN_SENT
TCP 192.168.123.101:5000 120.119.63.219:80 SYN_SENT
Re: 為何我沒看網頁但port被開了1百多個.而且一直在傳送封包.這是發生啥事???
[QUOTE][i]最初由 kulo [/i]
[B]這台SERVER我有架站但是沒去開網頁
但是我的訊息卻出現
而且一直傳送封包
當時又沒人上我的網站
怎會一直傳送封包出去哩???
我想第一個就是中獎啦?
被駭客入侵當成跳板?擷取資料(我又沒啥機密)?
感覺好像是在掃的的PORT
可是掃PORT應該是傳進來資料
可是卻是傳出去大量的封包資料
哪位高手可以說明解釋??
這樣事發生啥是阿??
我ㄉ站是用WIN 2000 SERVER
ASDL固定IP
有裝IP分享器(內建防火強)
還有灌BLACKICE監視PORT
[/B][/QUOTE]
中了這兩天很多媒體都已經報導過的 code red worm, 請儘速安裝微軟提供的修正程式並且 reboot(這隻蟲只會存在記憶體, 不會感染硬碟上的檔案, 所以重新開機就可以暫時免除影響).
今天晚上單單在 Giga 已經找出了數百台的機器受到感染, 現在正陸續進行隔離中.
我不知道其它 ISP 的狀況如何, 但是這隻蟲對全球的網路流量都有不小的影響.
birdy590兄~我想你應該也是服務於ISP的公司ㄅ?
厲害你怎都知道阿??
GIGA處理哪些事情發生哪些是你都知道阿??
連其他ISP你也有消息~~真靈通~
可是中獎的是我
GIGA又沒辦法休補我的IIS這樣隔離有用嗎??
昨天發生後我就關機斷線~不讓它們得逞
在開機後就沒事ㄌ
我才剛要去補漏洞而已
越來越討厭這些大陸人了
根本就是民族主義中毒太深啦
死命說要打美國~反美~~~
我就不相信他們都沒用美國的產品~
上次也是被串改網頁(也是針對美國)~~
GIGA是真ㄉ不錯啦~~固定IP~上傳下載又高
而且也很少斷線~~除了這依次沒通知外
而且1190元中華電信就給人家A了800元
用來用去還是都給中華電信給賺去ㄌ
#$@$^@#$^@#~~~~~~~~~~:mad:
我已經去修補這個漏洞可是還是有這一段程式碼沒關係嗎???
如何判別電腦是否中了Code Red病毒:
於自己的電腦中搜尋有無下列的字串,若有,則表示可能已被入侵或曾被入侵過。
**找尋方式:
1. 於工作列執行「開始→搜尋→檔案或資料夾→內含文字」
2. 將下列字串(中毒Log內容)複製任一行貼至”內含文字”中
3. 搜尋目標為”所有硬碟”
4. 開始搜尋
**中毒Log內容:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a
可是我修補完後再去查還是有這一段程式碼耶?
這樣算有修補成功嗎??
Re: 我已經去修補這個漏洞可是還是有這一段程式碼沒關係嗎???
[QUOTE][i]最初由 kulo [/i]
[B]如何判別電腦是否中了Code Red病毒:
於自己的電腦中搜尋有無下列的字串,若有,則表示可能已被入侵或曾被入侵過。
**找尋方式:
1. 於工作列執行「開始→搜尋→檔案或資料夾→內含文字」
2. 將下列字串(中毒Log內容)複製任一行貼至”內含文字”中
3. 搜尋目標為”所有硬碟”
4. 開始搜尋
**中毒Log內容:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a
可是我修補完後再去查還是有這一段程式碼耶?
這樣算有修補成功嗎?? [/B][/QUOTE]
Giga 客服網頁上面寫的檢查方式是不正確的, 看看就算了
他們這兩天已經快被操到翻掉(共有超過千位客戶中獎), 要消化這些名單是得花上一段時間.
最早公布 code red worm 相關資訊的 eeye digital security([url]www.eeye.com[/url])有一個程式可以用來掃瞄機器是否為 code red vulnerable, 可以在以下網址下載到
[url]http://www.eeye.com/html/Research/Tools/CodeRedScanner.exe[/url]
今天從 ISS 那邊聽到的小道清息, 台灣已經確定有上萬台機器遭到感染, 在全世界已經可以排到名次(這好像不是什麼好事?) TANet 對國外目前還是中斷的, 各大 ISP 的流量目前也還是有異常狀況. 建議各位如果有用 NT/2000+IIS 架設網站, 務必確定自己的機器已經做過修補動作.
我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
不過我倒是沒在看過異樣的情形ㄟ
不過總是毛毛ㄉ
因為還是查ㄉ到那一段程式碼
我應該怎摸做才好勒:(
Re: 我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
[QUOTE][i]最初由 kulo [/i]
[B]我已經去微軟那邊下載修補軟體ㄌ耶~可是還有這一斷程式碼啊
不過我倒是沒在看過異樣的情形ㄟ
不過總是毛毛ㄉ
因為還是查ㄉ到那一段程式碼
我應該怎摸做才好勒:( [/B][/QUOTE]
請用上面貼的那個檢查程式測試一下, 沒問題就是安全了
微軟改這個 bug, eeye 出力也不少, 目前看到的測試就以這個最準
