iT邦幫忙

0

Server一直連到大陸IP去!?

我有一台主機一直嘗試往大陸IP連線...走80跟1739 port.
掃毒也無法掃出病毒 掃木馬也沒半隻...
還有其他辦法可以解決嗎?

12
shunyuan
iT邦研究生 1 級 ‧ 2010-05-21 21:47:20
最佳解答

其實問題很簡單:

(1) 找出是哪支程式,連到大陸去,可以用 cport.exe 這支免費軟體。
找到後,先用 task manager 把執行的程式強制終止,然後把執行檔砍了。

(2) 找出開機是從哪個 registry 自動執行,可以用 startup cpl 這支免費軟體,然後把不必要的開機自動執行的程式移除。

(3) 重開機,重複步驟 (1) (2) 通常一次就乾淨了。

這些其實就是防毒軟體做的事,只是改成手動執行。

另外勸那些動不動就叫人重灌 OS 的朋友,重灌 OS 是為了簡單,但是重灌 OS 後,要下載的更新,有版權的軟體要重灌,免費的軟體要重灌,半天到一天跑不掉。別輕易就重灌。

10
yateousz
iT邦新手 5 級 ‧ 2010-05-20 11:21:35

重灌?

重灌雖然是一勞永逸...但是老是重灌也不是辦法啦...

18
rickhsu
iT邦高手 6 級 ‧ 2010-05-20 12:08:05

先用TCP VIEWER之類的軟體,查看看是哪一支程式在連。
同時也可以先將SERVER對外連線的PORT關掉,以避免資料外流。

我目前主機對外連線都斷掉了...

18
amigoccs
iT邦研究生 4 級 ‧ 2010-05-20 14:14:59

Port 80 的是標準 http,但是 Port 1739 就有可能是惡意程式如後門或木馬了...

Because protocol UDP port 1739 was flagged as a virus (colored red) does not mean that a virus is using port 1739, but that a Trojan or Virus has used this port in the past to communicate.

根據我以前一位客戶的案例,也是有連向中國將公司內部的產品設計圖不斷外流,我建議您採取下列步驟逐步分析問題:

  1. 確認流出的資料為何,可以透過 DLP 蒐集指定 Port 的相關資訊。例如,以 McAfee Network DLP Monitor 以 Mirror Port 的方式串連上 Swicth,監聽所有的通訊,設定資安政策為 Port 1739 相關藉此觸發資安事件,並保留其他通過流量以免因資安政策不周詳導致措施資安事件

  2. 在稽核陪同下省視資料,有很多時候可能會看到資訊部門不該看到的資料,因此務必找稽核陪同

  3. 直接向稽核與董事長報告,不是找總經理或你的主管,也有個案為內部人員蓄意所為,小心主管為了不影響自己的職業生涯而採取針對你的行動

  4. 保留證據作為呈堂供物,要注意蒐集的資料是否能作為舉證之用,不是每個工具的蒐證都可以被承認

  5. 確定要處理此事,才改用阻擋的方式。可以考慮透過 DLP 防止資料外洩,與 IPS 阻擋惡意攻擊來處理,不要用 Firewall 直接檔掉 80 Port,問題的層級不在 Firewall Port 關注的 OSI 層

請小心處理

14
plums
iT邦高手 1 級 ‧ 2010-05-20 19:00:52

如果軟體本身是合法的被開發出來,當然不會被當做病毒或木馬而被掃出來,碰過最有名的就是r_server這個遠端遙控服務,是很多駭客喜歡用的,我常常看到...

建議將server上的處理程序跟服務一個一個看,看到怪怪的名稱就上網找找看,我都是用這招,雖然笨一點,基本上還算蠻管用的

10
intermis
iT邦新手 4 級 ‧ 2010-05-21 11:27:13

看這個症狀應該是中了偽80port反彈式木馬,即使找到是那個程序刪除,重開機後還是會繼續運作,基本上除了重灌似乎沒有更好的辦法,應該將重點放在這次重灌後,使用者的使用習慣改善,才是長遠之計。

pnntest iT邦新手 4 級 ‧ 2010-06-14 13:13:54 檢舉

你可以用金山急救箱去掃描並解毒,他蠻好用的。

我要發表回答

立即登入回答