|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
今天才知道封445端口的重要性小区用户惊呼上不了网.杀奔楼顶,打开箱子,把路由接上显示器和键盘,一看,提示memory queezy,dropping packet.想切换到其他控制台看看如何内存占用过多,alt+fn不起作用.只有重启.启动后用free, 只见内存占用不断上涨,很快我的16m内存就玩完了.在此之前cat /proc/net/arp,只看见有两个用户.又重启,在内存迅速增长期间,more /proc/net/ip_conntrack,不得了,好多页呀.我在rc.local里设了echo 32768 > /proc/sys/net/ipv4/ip_conntrack_max的,因为16m内存默认只有1024条连接记录,很容易满.一条记录是350字节,那么1m大概近3000条,32768条10m多些,差不多嘛话说远了,more太多了,我只好ctrl+c中止了.想用less,没有就cat,只见有几个ip在狂发SYN_SENT,目标地址是192.x.x.x,目标端口是445,哦,原来如此呀.好,iptables -I FORWARD -p tcp --dport 445 -j DROP这下稳住了,因为SYN_SENT生存时间很短,好象是100秒.所以连接表过一下看就少得很了.然后顺便把135-139端口也禁了.考虑到冲击波杀手之类病毒还狂发icmp请求,再加iptables -I FORWARD -i eth0 -p icmp -d 192.0.0.0/8 -j DROP嗯嗯,这下差不多了.跑那几个ip的家里去,果然有毒,用netstat -na可以看到n多syn连接,目标端口为445,有一个打了冲击波补丁就没事了.有几台不行,让他们自己重装,不要忘了打冲击波补丁.各位大大,还有什么要注意的?不过前些天在另个小区,那个病毒太厉害了,coyote其实没问题,另一个子网的好得很,就是有毒的子网ping网关都慢,掉包.不知如何能杀,只有重装系统(((((((. 没想出其他抵挡办法,不过问题肯定依然是冲击波那个漏洞,只是表现形式不同罢了. |
|