在windows上有時會看 netstat -n 來看,
竟然會有自動連到,卻又不會透過proxy:
75.125.11.35
RTSP/1.0 400 Bad Request
Server: DSS/5.5.5 (Build/489.16; Platform/Linux; Release/Darwin; state/beta; )
Cseq:
Connection: Close
像是個stream server什麼的。
75.125.11.24
Response Headers - http://75.125.11.24/
Date: Mon, 08 Dec 2008 08:46:46 GMT
Server: Apache/1.3.41 (Unix) PHP/5.2.6 mod_gzip/1.3.26.1a mod_log_bytes/1.2 mod_bwlimited/1.4 mod_auth_passthrough/1.8 FrontPage/5.0.2.2635 mod_ssl/2.8.31 OpenSSL/0.9.8b
Last-Modified: Sat, 26 Jul 2008 17:24:54 GMT
Etag: "19a318-d92-488b5de6"
Accept-Ranges: bytes
Content-Type: text/html
Content-Encoding: gzip
Content-Length: 1569
的記錄,看起來是被自動被傳輸什麼東西到那邊去…
用DNS大概只能知道是theplanet.com的 internet host 的供應商,
而該兩台主機也可能是是被租用的IP或者浮動IP?不曉得。
最近看了 藍色駭客 這本小說提及,若覺得硬碟老是跑個不停,或動作稍緩慢,大概就是被連上了…。然而在 windows 環境下常常背後就不曉得在跑個什麼勁的,不可能知道自己到底是不是被駭入…
只是從 netstat 的指令看,不曉得是在傳什麼鬼的,而沒透過 proxy 就看不到其前往的網址。
如果有知道這兩個IP是做什麼的,告知一下,好知道到底有什麼怎樣的可能發生。
已邀請的邦友 {{ invite_list.length }}/5
DSS是Darwin Streaming Server,apple的一個open source streaming server。rtsp是real time streaming protocol,所以看起來就是做streaming了。不過好像沒開機,也沒辦法進一步看。
另外一個是預設的apache httpd頁面。而用nmap看,開了:
<pre class="c" name="code">
PORT STATE SERVICE
1/tcp open tcpmux
21/tcp open ftp
25/tcp open smtp
26/tcp open unknown
53/tcp open domain
80/tcp open http
110/tcp open pop3
111/tcp open rpcbind
143/tcp open imap
443/tcp open https
465/tcp open smtps
993/tcp open imaps
995/tcp open pop3s
1040/tcp open netsaint
3306/tcp open mysql
6667/tcp open irc
開了太多常用的port,反而有點奇怪,可能被當作跳板?不過也不能做太侵入的測試,其實用nmap就可能被人誤會啦。所以看不太出名堂。
建議用wireshark來抓取封包,看看這個位置是做甚麼的,有可能是因為裝了某個軟體所澡成的,或是像樓上說的,用TCPVIEW看一下,就知道是那個程式去做連接了。
藍色駭客我也看過,裡面有提到駭客的手法,不一定完全是透過電腦的,也有可能利用像是社交工程這一類的手法來入侵。
這是內部的每一台電腦都會自動連到 75.125.11.35
還是只有某幾台電腦會這樣
如果是某幾台會這樣
建議你 , 可以把那些會自動連到 75.125.11.35 的電腦
掃一下是不是有異常的檔案存在電腦裡面
iThome鐵人賽
看影片追技術