外来人
发表于 2004-12-1 20:54:13
又中毒了!!!!今天有小区用户反映上不了网,就去楼顶看,coyote停在dhcp server处,想是停电后来电启动失败吧,于是重启,这下停在buring eth0处,提示much work interrupt,想起前两天才在论坛上看到有人说有这个现象,想不到好运就降临我头上了:(换版本的软盘,依然如此。想把网卡换到空的pci槽上,却没带改刀。就叫他们回去拿另一台电脑,顺便带个改刀上。然后我一个人在楼顶想原因,见网卡灯飞闪,于是再重启,在eth0处停了,我就拨掉网线,好,启动成功了,我把网线插上,这下机子就慢得很了:(我用free看,怎么内存就用了7m多了,用uptime,cpu占用高呀。more /proc/net/ip_conntrack,这下看出端倪来了。有很多202.x.x.x的源地址发包到61.x.x.x,地址都在不断增加,但目的端口都是6667,想起我前一两个月在另一个小区windows下抓包,也看到这种伪造的源地址疯狂发包。这个比我前几天封445并找到发包者糟,因为这个源地址是假的,不知是局域网哪台中了毒。连接表里更怪的,连接状态是ESTABLISHED,想不出这握手是如何成功的。后面竟然是,这分明是没有回复嘛。实在想不通!!一两个月前在另一个小区我们是拨线隔离,但这个小区分散,这种不行。于是iptables -I FORWARD -p tcp --dport 6667 -j DROP,这下稳住了。后来想,说不定还有病毒要用我们不知道的端口,不过今天的毒有特点,在内网发公网源地址的包,那就iptables -I FORWARD -i eth0 -s ! 192.168.123.0/24 -j DROP。我现在不敢重启服务器,怕呀,怎么这么厉害呀,我刚才的命令已经放rc.local了,不过buring eth0里,离rc.local还差得远哩,我怕怕,各位大大救我呀:((((今天下午在p2 333/64m/3.2G hdd 上装redhat9,准备代替 coyote,用tcpdump抓包,要把乱发包的mac找到,然后得到ip,再到这家人去杀毒,不过这毒染得快,我怕来不及:(今天可以看出,在coyote上ping局域网地址,原来只要1ms内,今天平均在2ms多。哎
DreamCat
发表于 2004-12-2 16:51:20
看来是蠕虫病毒。没办法。你的网络内的其他计算机互相之间仍在互相传播。所以会出现ping的延迟变长。
lyh
发表于 2005-1-15 02:19:38
改用NAIP的驱动是不是会好点?
页:
[1]