iT邦幫忙

0

於Netinsight發現某ip有連至特定ip固定port,且有上傳下載固定流量,但該電腦經掃毒及後門無結果,該如何呢?

匿名 2008-07-03 09:07:057256 瀏覽
先將該IP停掉, 該流量是否會停止.
如果會, 應該是該IP使用P2P軟體在下載及分享檔案, 如: foxy.
58
powerop
iT邦研究生 4 級 ‧ 2008-07-03 11:35:49
最佳解答

提供另一個角度:
1.利用 WHOIS 服務,查查對方 ip 的註冊資料。有很多網站提供此服務,例如台灣 TWNIC Whois,或者全球 WHOIS 查詢 by Whois365.com

2.利用免費、跨平台的自由軟體 Wireshark ,執行網路封包嗅探(packet sniffing),直接把那些封包抓下來、存檔,徹底追查。
Wireshark 可以安裝在那台有問題的機器上(支援 MS Windows, MAC OS X, Linux......),或者,裝在另一台電腦,跟有問題的機器插在同一個 hub ,也可以抓得到封包(如果是用 switch 的話,要開 mirror port 的功能)

52
fishk
iT邦大師 1 級 ‧ 2008-07-03 09:46:29

很可能是中了未知型木馬, 但也可能是某程式正常的行為(如:防毒程式/Java/...都會定期上網更新); 所以, 要先找出是那一支程式所造成.
1.請先準備好sysinternals工具
http://technet.microsoft.com/en-us/sysinternals/default.aspx
2.以netinsight或防火牆log找出其連線的規則, 如: 7:00, 8:30, 10:00各連線乙次, 則可預估下次連線為11:30, 這時可利用TCPView來觀察是那一支程式有對外連線的行為, 很可能就是那一支程式的問題.

如果這時還無法找出是那一支程式, 也可以考慮安裝個人防火牆(如:Comodo Firewall Pro或Zonealarm), 再進一步追查, 相關資訊亦可參考
http://ithelp.ithome.com.tw/question/10004981

34
goodnight
iT邦研究生 3 級 ‧ 2008-07-04 07:25:09

1.先裝軟體防火牆看看是哪個程式透過哪個port傳資料去哪, 我都用費爾防火牆
2.看看是否有在聽線上音樂
3.有些p2p是用網頁型的背景下載, 可能要時間找一下, 從啟動找找看
4.下載Starter_v5628.rar或DTask Manager查查看
5.重新修復winsock, 下載 winsockfix 試試看
6.實在不行又很在意的話, 重灌吧

28
cheng
iT邦好手 1 級 ‧ 2008-07-04 08:01:23

這套軟體不錯用唷
我以前也用過~對於單位流量統計與即時流量很清楚
你現在遇到的是使用者有固定對外的傳輸
但是掃毒卻沒有,我想應該是他裝了某些IM或是即時更新軟體
這些是防毒軟體無法掃瞄的,我建議你去看他系統管理的服務
如不是你們公司的系統就給他給關了,試試看囉

18
macosorawate
iT邦新手 2 級 ‧ 2008-07-04 12:48:57

有一種可能性.就是開關差頭接觸不良.試個線路看看.平均流量都很高才對.WATER.0911115854.( macosorawater@pchome.com.tw ). http://www.macosorawater.pchome.com.tw .小禮.Thanks. 11111111 .

16
folkdancer
iT邦新手 3 級 ‧ 2008-07-07 17:15:17

比較建議的是使用WhatsRunning 一類的軟體,它可以明確的看出系統上那些Port 的通訊是由那些程式在操作的
接下來可以針對該程式去進行掃毒或是檢查
如果不知道該程式是否有問題可以由幾下幾個步驟來check

  1. 到google search 該程式名稱,看看是不是正常該有的程式,如果都查不到資料有可能就是別人寫的惡意程式或病毒
  2. 如果是正常該有的程式,就要check 它資料的傳送動作是否是它本身就會執行的動作,假如不會就要check 這支程式是否是有被病毒感染或是駭客替換掉了
  3. 假如不影響電腦正常運作,可以試著把該程式更改檔名試看看過一段時間會不會對系統造成問題,真的確認沒關題的狀況下再砍掉

我要發表回答

立即登入回答