通过 Netstat命令发现服务器被连接到别人的80端口, 在线等待,急^^^^^
我的web服务器,今天通过netstat -an查看时 发现有如下可疑连接:
TCP 124.42.8.89:2473 218.28.204.139:80 IME_WAIT
TCP 124.42.8.89:2474 218.28.204.139:80 IME_WAIT
TCP 124.42.8.89:2475 218.28.204.139:80 IME_WAIT
TCP 124.42.8.89:2476 218.28.204.139:80 IME_WAIT
TCP 124.42.8.89:2477 218.28.204.139:80 IME_WAIT
TCP 124.42.8.89:2478 218.28.204.139:80 IME_WAIT
我重新启动系统后用马上通过netstat -an查看没有发现此连接,但过了约1分钟左右查看,又出现此连接(我没有打开IE浏览器访问218.28.204.139和其它任何网站), 状态都是IME_WAIT
我怀疑是不是我们的服务器已经被当成了肉鸡 所以才一直连接在别人的80端口
但我的服务器安全方面做得还算可以,检查后好象并没发现中毒或成肉鸡,服务器运行也很正常
请各位老师赐教, 万分感谢!!!
------解决方案--------------------你都说你的是WEB服务器了,连到你的80端口不是很正常的吗
------解决方案--------------------这个应该是微软 的update 站点
你可以在机器抓包分析看看
------解决方案--------------------看下启动项和服务
有可疑的没。
杀毒软件没查出毒不代表没被中。
------解决方案--------------------可能是被挂马了
·您所查询的IP地址: 218.28.204.139
·该IP查询物理定位: 河南省许昌市 网通
如果没有rootkit的情况下,用taskmgr可以查看一下都有什么程序在运行,另外要检查所有的自动启动项
------解决方案--------------------不妨去下载一个Ethereal(www.ethereal.com)截取数据包看一下
另外如果怀疑有rootkit的话,可以去www.sysinternals.com下载一个RootkitRevealer
------解决方案--------------------河南省许昌市网通IDC机房,查吧,肯定是木马类的东西
------解决方案--------------------中马了。或者一些广告的间谍软件。。。。。。。。
------解决方案--------------------如果是xp或者2003的话
netstat -ano
看看是什么进程在进行这个网络连接,
当然也可以借助fport类的工具...
然后就是用一些检测工具+手工检测+抓包分析