【求助】公司的 Lan 被攻擊 ?

[palmvx]

小弟遇到一個狀況, 已經兩個月了, 一直解決不了, 請大家幫幫忙....

公司共有 20 幾台電腦, Email Server 是 RH9, File Server 是 Win2k Server-SP4,公司網路都是用虛擬 IP (DHCP), Client 端都是 Win2k ... ,另外有三台 VOIP 和 一台 Novel Server & 一台監視系統 (WinXP)....全部接在三台 24 Port 的 3Com Hub 上, 而 3 台 Hub 是串接在一起的!

最近常常發生 LAN 裡面塞到斷線! Email&File Server 都連不上! 每次 1 ~ 3 分鐘不等, 而發生的時候 Hub 所有的燈都同時閃! 我判斷是內部有人中了毒, 一直在發廣播訊號! 導致癱瘓網路, 於是每一台檢查, 因為每一台都有裝 Norton 防毒, 檢查都沒事, 稍有懷疑中毒的也都立刻重灌, 我也用 AD-Aware 每一台掃但是狀況並沒改善....不知道有沒有人能給一點建議和指導, 要怎麼解決?

另外, 昨天重開 File Server 時發現出現一個程式錯誤的視窗, 標題寫著 "should not see me" 而到處查也不知是否是病毒? File Server 上是 Symantec Antivirus 8.0, 也查不到有中毒的跡象.......

請有經驗的人幫幫忙.....謝謝!!

by admin: move to anti-hack/virus

[Moffatt]

最近常常發生 LAN 裡面塞到斷線! Email&File Server 都連不上! 每次 1 ~ 3 分鐘不等, 而發生的時候 Hub 所有的燈都同時閃! 我判斷是內部有人中了毒, 一

是只有其中一台hub在閃燈還是三台都在閃,如果只有一台在閃有可能是那台hub有問題,我以前有碰過類似的狀況,結果是hub的問題

如果懷疑某台電腦有異常的流量,你可以在RH9上裝 ntop,可以統計區網內的流量,就知道是哪一台的流量有異常

[palmvx]

是只有其中一台hub在閃燈還是三台都在閃,如果只有一台在閃有可能是那台hub有問題,我以前有碰過類似的狀況,結果是hub的問題

如果懷疑某台電腦有異常的流量,你可以在RH9上裝 ntop,可以統計區網內的流量,就知道是哪一台的流量有異常

三台同時閃! 我也試過在閃的時候把三台 Hub 的串接線拔掉, 想要看看到底是哪一台 Hub, 但是有的時候閃第一台, 有時第二台, 第三台, 又有時一三台...不一定......實在 $#@%$@$^%$^

我也 login RH9 用 top 看過, 結果一切正常, 沒啥特別重的 loading....ntop....? 我來找找資料.....謝謝喔~~~

3 台 Hub 是 3com 24Port 機架式的, 換還不到 2 年.....應該不會運氣這麼好三台同時壞掉吧?! 您以前 Hub 壞掉的症狀也試燈號同時閃嗎? 每次 1~3 分鐘不等, 如果持續這樣閃還容易些, 大不了一台一台拔線, 看是哪一台在作怪, 但是...他每次都是 1 分鐘左右, 偶爾三分鐘左右, 根本來不及做檢查......

[cheerx]

如果是HUB不是SWITCH，抓ETHEREAL來抓一下封包，看看誰在丟資料.看起來像是中毒在區網感染其他電腦,諾頓有的時候已經中毒會抓不到.試試看其他家的掃毒程式吧!免費的可以用趨勢的掃毒工具.

http://www.trendmicro.com/download/zh-tw/tsc.asp
請搭配最新病毒碼使用
http://www.trendmicro.com/download/zh-tw/pattern.asp

[palmvx]

如果是HUB不是SWITCH，抓ETHEREAL來抓一下封包，看看誰在丟資料.看起來像是中毒在區網感染其他電腦,諾頓有的時候已經中毒會抓不到.試試看其他家的掃毒程式吧!免費的可以用趨勢的掃毒工具.

http://www.trendmicro.com/download/zh-tw/tsc.asp
請搭配最新病毒碼使用
http://www.trendmicro.com/download/zh-tw/pattern.asp

三台 3Com 的 Hub 都是 Switch 的...... anyway, 正在用趨勢的免費網頁掃毒中.....謝謝~~~

[cheerx]

如果有問題的電腦區網每台電腦都丟資料的話,先看能不能知道丟過來的是什麼吧.

[aiken]

1.全部PC完成windows update
2.升級 NAV 9.0(包含Server & Client)
3.網域密碼原則, 禁止使用空白密碼並且要求暫時關閉所有私人的分享資料夾

兩個月也撐太久了吧
MIS真的沒有能力解決的話建議尋求外界專業人士的協助(可參閱資安人雜誌)
就算需要另外花費金錢...在怎麼樣也比不上貴公司兩個月以來的生產力下降損失

[palmvx]

1.全部PC完成windows update
2.升級 NAV 9.0(包含Server & Client)
3.網域密碼原則, 禁止使用空白密碼並且要求暫時關閉所有私人的分享資料夾

兩個月也撐太久了吧
MIS真的沒有能力解決的話建議尋求外界專業人士的協助(可參閱資安人雜誌)
就算需要另外花費金錢...在怎麼樣也比不上貴公司兩個月以來的生產力下降損失

您說的三點都已經做過了~~ 這個狀況的確是蠻困擾的, 曾經建議更換可過濾廣播封包的 Hub....三台要 10 幾萬... 但....公司又沒有多餘的預算, 只好自己想辦法囉~~~不過我會參考您說的資安人雜誌....謝謝您的意見......

[redhung]

小弟遇到一個狀況, 已經兩個月了, 一直解決不了, 請大家幫幫忙....

公司共有 20 幾台電腦, Email Server 是 RH9, File Server 是 Win2k Server-SP4,公司網路都是用虛擬 IP (DHCP), Client 端都是 Win2k ... ,另外有三台 VOIP 和 一台 Novel Server & 一台監視系統 (WinXP)....全部接在三台 24 Port 的 3Com Hub 上, 而 3 台 Hub 是串接在一起的!

最近常常發生 LAN 裡面塞到斷線! Email&File Server 都連不上! 每次 1 ~ 3 分鐘不等, 而發生的時候 Hub 所有的燈都同時閃! 我判斷是內部有人中了毒, 一直在發廣播訊號! 導致癱瘓網路, 於是每一台檢查, 因為每一台都有裝 Norton 防毒, 檢查都沒事, 稍有懷疑中毒的也都立刻重灌, 我也用 AD-Aware 每一台掃但是狀況並沒改善....不知道有沒有人能給一點建議和指導, 要怎麼解決?

另外, 昨天重開 File Server 時發現出現一個程式錯誤的視窗, 標題寫著 "should not see me" 而到處查也不知是否是病毒? File Server 上是 Symantec Antivirus 8.0, 也查不到有中毒的跡象.......

請有經驗的人幫幫忙.....謝謝!!

我不是網管，只是個一般玩家，
不過我對你說的"每次 1 ~ 3 分鐘不等, 而發生的時候 Hub 所有的燈都同時閃!"有疑問，你說的閃燈是真的完全同步閃嗎?一般來說，就算真的是廣播封包，也會有先後順序吧!應該會是"猛閃"，而不是"同步閃"，
對於你的問題，個人的建議是先確定hub有沒有故障，尤其是OfficeConnect這種小型hub的，因為我們公司在使用這款的16port Switch時，一段時間就出現像4、8 6、10兩兩同步跳，送店家送修後換新品才ok(買了四顆，一年內送了四次，等於每顆都送修了一次-.-")。

[palmvx]

我不是網管，只是個一般玩家，
不過我對你說的"每次 1 ~ 3 分鐘不等, 而發生的時候 Hub 所有的燈都同時閃!"有疑問，你說的閃燈是真的完全同步閃嗎?一般來說，就算真的是廣播封包，也會有先後順序吧!應該會是"猛閃"，而不是"同步閃"，
對於你的問題，個人的建議是先確定hub有沒有故障，尤其是OfficeConnect這種小型hub的，因為我們公司在使用這款的16port Switch時，一段時間就出現像4、8 6、10兩兩同步跳，送店家送修後換新品才ok(買了四顆，一年內送了四次，等於每顆都送修了一次-.-")。

是三台 24 Port 的綠燈同時閃(橘燈不會閃)!! 當把三台串接線拔掉時, 則不一定哪一台或哪兩台但是還是同時閃 24 個綠燈!

我實在不願意相信 3Com 的 Hub 一次三台全壞!!! 之前也是用 3Com 前一代的 24Port , 也發生過故障送修, 但是只是一台, 而且症狀不是這樣, 我遇到的 Hub 壞掉的狀況是...壞掉就是完全掛掉, 不會一次斷線 1 分鐘....

anyway, 我明天還是打個電話到 3Com 問一下好了.....謝謝你的建議~~~