日期:2014-05-17  浏览次数:20784 次

通过 Netstat命令发现服务器被连接到别人的80端口, 在线等待,急^^^^^
我的web服务器,今天通过netstat   -an查看时   发现有如下可疑连接:

TCP   124.42.8.89:2473 218.28.204.139:80 IME_WAIT
TCP   124.42.8.89:2474 218.28.204.139:80 IME_WAIT
TCP   124.42.8.89:2475 218.28.204.139:80 IME_WAIT
TCP   124.42.8.89:2476 218.28.204.139:80 IME_WAIT
TCP   124.42.8.89:2477 218.28.204.139:80 IME_WAIT
TCP   124.42.8.89:2478 218.28.204.139:80 IME_WAIT

我重新启动系统后用马上通过netstat   -an查看没有发现此连接,但过了约1分钟左右查看,又出现此连接(我没有打开IE浏览器访问218.28.204.139和其它任何网站),   状态都是IME_WAIT

我怀疑是不是我们的服务器已经被当成了肉鸡 所以才一直连接在别人的80端口 

但我的服务器安全方面做得还算可以,检查后好象并没发现中毒或成肉鸡,服务器运行也很正常

请各位老师赐教,   万分感谢!!!


------解决方案--------------------
你都说你的是WEB服务器了,连到你的80端口不是很正常的吗
------解决方案--------------------
这个应该是微软 的update 站点

你可以在机器抓包分析看看

------解决方案--------------------
看下启动项和服务
有可疑的没。
杀毒软件没查出毒不代表没被中。
------解决方案--------------------
可能是被挂马了

·您所查询的IP地址: 218.28.204.139
·该IP查询物理定位: 河南省许昌市 网通

如果没有rootkit的情况下,用taskmgr可以查看一下都有什么程序在运行,另外要检查所有的自动启动项
------解决方案--------------------
不妨去下载一个Ethereal(www.ethereal.com)截取数据包看一下
另外如果怀疑有rootkit的话,可以去www.sysinternals.com下载一个RootkitRevealer
------解决方案--------------------
河南省许昌市网通IDC机房,查吧,肯定是木马类的东西
------解决方案--------------------
中马了。或者一些广告的间谍软件。。。。。。。。
------解决方案--------------------
如果是xp或者2003的话
netstat -ano
看看是什么进程在进行这个网络连接,
当然也可以借助fport类的工具...

然后就是用一些检测工具+手工检测+抓包分析