日期:2014-05-17  浏览次数:21031 次

高手看看我有没有被入侵或成为肉鸡netstat-an
Active Connections

  Proto Local Address Foreign Address State
  TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
  TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
  TCP x.x.x.x:1465 61.135.218.35:80 CLOSE_WAIT
  TCP 122.0.0.2:139 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING
  TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING
  UDP 0.0.0.0:445 *:*  
  UDP 0.0.0.0:500 *:*  
  UDP 0.0.0.0:1401 *:*  
  UDP 0.0.0.0:1406 *:*  
  UDP 0.0.0.0:4500 *:*  
  UDP x.x.x.x:123 *:*  
  UDP x.x.x.x:1900 *:*  
  UDP 122.0.0.2:123 *:*  
  UDP 122.0.0.2:137 *:*  
  UDP 122.0.0.2:138 *:*  
  UDP 122.0.0.2:1900 *:*  
  UDP 127.0.0.1:123 *:*  
  UDP 127.0.0.1:1034 *:*  
  UDP 127.0.0.1:1074 *:*  
  UDP 127.0.0.1:1402 *:*  
  UDP 127.0.0.1:1900 *:*  
  UDP 127.0.0.1:3416 *:*  
  UDP 127.0.0.1:3878 *:*  


------解决方案--------------------
从 netstat 结果看没有什么异常端口。

但是,最好用 netstat.exe -anb 检查正在侦听端口的后台程序,用 procexp.exe 验证后台程序,这样才可以分析是否中木马。




------解决方案--------------------
这个信息是不足矣判断的
------解决方案--------------------
有没有被入侵或成为肉鸡?

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING --> 一般是本机rpc 135
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING --> 一般是本机netbios
TCP x.x.x.x:1465 61.135.218.35:80 CLOSE_WAIT --> 一般是本机访问对方网站
TCP 122.0.0.2:139 0.0.0.0:0 LISTENING --> 一般是本机netbios
。。。。。。。

仅靠netstat是不好判断的,倒不如依据进程来,所以,一般加netstat -ano or netstat -anb
何况木马使用的本机端口到底是那个又不是预先知道的,所以,一般看listen和connect的
且一些一马是采用重用常用端口和udp等的很难检查的技术的