iT邦幫忙

0

詭異的IP不曉得是連去做什麼?

在windows上有時會看 netstat -n 來看,
竟然會有自動連到,卻又不會透過proxy:
75.125.11.35

RTSP/1.0 400 Bad Request
Server: DSS/5.5.5 (Build/489.16; Platform/Linux; Release/Darwin; state/beta; )
Cseq: 
Connection: Close

像是個stream server什麼的。

75.125.11.24

Response Headers - http://75.125.11.24/
Date: Mon, 08 Dec 2008 08:46:46 GMT
Server: Apache/1.3.41 (Unix) PHP/5.2.6 mod_gzip/1.3.26.1a mod_log_bytes/1.2 mod_bwlimited/1.4 mod_auth_passthrough/1.8 FrontPage/5.0.2.2635 mod_ssl/2.8.31 OpenSSL/0.9.8b
Last-Modified: Sat, 26 Jul 2008 17:24:54 GMT
Etag: "19a318-d92-488b5de6"
Accept-Ranges: bytes
Content-Type: text/html
Content-Encoding: gzip
Content-Length: 1569

的記錄,看起來是被自動被傳輸什麼東西到那邊去…
用DNS大概只能知道是theplanet.com的 internet host 的供應商,
而該兩台主機也可能是是被租用的IP或者浮動IP?不曉得。

最近看了 藍色駭客 這本小說提及,若覺得硬碟老是跑個不停,或動作稍緩慢,大概就是被連上了…。然而在 windows 環境下常常背後就不曉得在跑個什麼勁的,不可能知道自己到底是不是被駭入…
只是從 netstat 的指令看,不曉得是在傳什麼鬼的,而沒透過 proxy 就看不到其前往的網址。

如果有知道這兩個IP是做什麼的,告知一下,好知道到底有什麼怎樣的可能發生。

34
fillano
iT邦超人 1 級 ‧ 2008-12-08 23:14:12
最佳解答

DSS是Darwin Streaming Server,apple的一個open source streaming server。rtsp是real time streaming protocol,所以看起來就是做streaming了。不過好像沒開機,也沒辦法進一步看。

另外一個是預設的apache httpd頁面。而用nmap看,開了:

<pre class="c" name="code">
PORT     STATE SERVICE
1/tcp    open  tcpmux
21/tcp   open  ftp
25/tcp   open  smtp
26/tcp   open  unknown
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
465/tcp  open  smtps
993/tcp  open  imaps
995/tcp  open  pop3s
1040/tcp open  netsaint
3306/tcp open  mysql
6667/tcp open  irc

開了太多常用的port,反而有點奇怪,可能被當作跳板?不過也不能做太侵入的測試,其實用nmap就可能被人誤會啦。所以看不太出名堂。

22
richardhsieh
iT邦研究生 4 級 ‧ 2008-12-09 11:13:06

建議用wireshark來抓取封包,看看這個位置是做甚麼的,有可能是因為裝了某個軟體所澡成的,或是像樓上說的,用TCPVIEW看一下,就知道是那個程式去做連接了。

藍色駭客我也看過,裡面有提到駭客的手法,不一定完全是透過電腦的,也有可能利用像是社交工程這一類的手法來入侵。

12
twnem
iT邦好手 1 級 ‧ 2008-12-10 23:33:16

這是內部的每一台電腦都會自動連到 75.125.11.35
還是只有某幾台電腦會這樣
如果是某幾台會這樣
建議你 , 可以把那些會自動連到 75.125.11.35 的電腦
掃一下是不是有異常的檔案存在電腦裡面

我要發表回答

立即登入回答