外来人
发表于 2004-11-28 20:56:49
今天才知道封445端口的重要性小区用户惊呼上不了网.杀奔楼顶,打开箱子,把路由接上显示器和键盘,一看,提示memory queezy,dropping packet.想切换到其他控制台看看如何内存占用过多,alt+fn不起作用.只有重启.启动后用free, 只见内存占用不断上涨,很快我的16m内存就玩完了.在此之前cat /proc/net/arp,只看见有两个用户.又重启,在内存迅速增长期间,more /proc/net/ip_conntrack,不得了,好多页呀.我在rc.local里设了echo 32768 > /proc/sys/net/ipv4/ip_conntrack_max的,因为16m内存默认只有1024条连接记录,很容易满.一条记录是350字节,那么1m大概近3000条,32768条10m多些,差不多嘛话说远了,more太多了,我只好ctrl+c中止了.想用less,没有就cat,只见有几个ip在狂发SYN_SENT,目标地址是192.x.x.x,目标端口是445,哦,原来如此呀.好,iptables -I FORWARD -p tcp --dport 445 -j DROP这下稳住了,因为SYN_SENT生存时间很短,好象是100秒.所以连接表过一下看就少得很了.然后顺便把135-139端口也禁了.考虑到冲击波杀手之类病毒还狂发icmp请求,再加iptables -I FORWARD -i eth0 -p icmp -d 192.0.0.0/8 -j DROP嗯嗯,这下差不多了.跑那几个ip的家里去,果然有毒,用netstat -na可以看到n多syn连接,目标端口为445,有一个打了冲击波补丁就没事了.有几台不行,让他们自己重装,不要忘了打冲击波补丁.各位大大,还有什么要注意的?不过前些天在另个小区,那个病毒太厉害了,coyote其实没问题,另一个子网的好得很,就是有毒的子网ping网关都慢,掉包.不知如何能杀,只有重装系统(((((((. 没想出其他抵挡办法,不过问题肯定依然是冲击波那个漏洞,只是表现形式不同罢了.
DreamCat
发表于 2004-11-28 21:01:12
病毒连接自内网还是外网?
心想事成
发表于 2004-11-28 21:04:27
DreamCat
发表于 2004-11-28 21:12:49
应该讲CL对外开放的端口就那么几个,病毒不可能来自外界。所以只能是来自内部。这里有篇文章,CL官方论坛上的:http://www.vortech.net/phorums/read.php?8,39311大家参考下。
a99456820
发表于 2004-11-28 21:43:05
外来人
发表于 2004-11-29 17:18:50
为了防止不可知的端口攻击,考虑到ms的rpc漏洞相关的病毒一般都是不停从自身开始发一点点加ip,那么这样也差不多了。iptables -I FORWARD -i eth0 -d 192.168.0.0/16 -j DROPcoyote的文档太差了,我搞不懂:(所以只有自己用土办法了。各位大大到是帮我解决一下改tcp连接追踪表里的tcp生存时间的问题呀
页:
[1]