這幾天,一台內部server一直對外攻擊
有時一天攻擊好幾百次,防火牆有檔下
來源ip:內部server
來源port:53
目的port:53
目的ip:168.95.192.1、168.95.1.1...etc
攻擊時,大多封包bytes是0,但有時有bytes
用CurrPorts去看那台server port的情況
執行程序那一直有3個dns.exe
還有一個Unknown,但port也是53
要把Unknown的那個connection中止掉,都無法中止掉
攻擊時跟沒攻擊時的port狀況一樣
執行程序也沒看到異常
在別台電腦上沒有看到在執行dns.exe
執行dns.exe是正常的嗎?
還有那個unknow是做啥的?
有用symantec下去掃毒,但沒有掃到病毒
系統是win2000
如果用別種防毒軟體掃,有哪種免安裝的?
線上掃毒的話,因為那台是2000,IE是舊版的,所以沒辦法安裝某些元件
請問那台server該如何處理?
已邀請的邦友 {{ invite_list.length }}/5
port 53 #DNS TCP
port 53 #DNS UDP
你這台 Server 是不是有提供 DNS service.
我的意思是說,如果中毒,不應該只往外找
目的ip:168.95.192.1、168.95.1.1...etc..........您的etc,到底還有沒有?
如果中毒,連去中華電信dns主機做什麼?(想順便攻擊?)
我曾經因為這種設備『這麼賤』,雖然他功能強又便宜,我放棄採購。
(持續ping人家的主機,當然也會佔用流量!!)
結論:我猜測,您不是中毒,是您的設備再用他的設計『保持連線』,而,您以前從來不知道他會這樣。(中毒反而簡單處理,請試試看囉!!)
iThome鐵人賽
看影片追技術