又中毒了！封了6667

外来人

又中毒了！！！！今天有小区用户反映上不了网，就去楼顶看，coyote停在dhcp server处，想是停电后来电启动失败吧，于是重启，这下停在buring eth0处，提示much work interrupt，想起前两天才在论坛上看到有人说有这个现象，想不到好运就降临我头上了：（换版本的软盘，依然如此。想把网卡换到空的pci槽上，却没带改刀。就叫他们回去拿另一台电脑，顺便带个改刀上。然后我一个人在楼顶想原因，见网卡灯飞闪，于是再重启，在eth0处停了，我就拨掉网线，好，启动成功了，我把网线插上，这下机子就慢得很了：（我用free看，怎么内存就用了7m多了，用uptime，cpu占用高呀。more /proc/net/ip_conntrack，这下看出端倪来了。有很多202.x.x.x的源地址发包到61.x.x.x，地址都在不断增加，但目的端口都是6667，想起我前一两个月在另一个小区windows下抓包，也看到这种伪造的源地址疯狂发包。这个比我前几天封445并找到发包者糟，因为这个源地址是假的，不知是局域网哪台中了毒。连接表里更怪的，连接状态是ESTABLISHED，想不出这握手是如何成功的。后面竟然是[UNREPLIED],这分明是没有回复嘛。实在想不通！！一两个月前在另一个小区我们是拨线隔离，但这个小区分散，这种不行。于是iptables -I FORWARD -p tcp --dport 6667 -j DROP，这下稳住了。后来想，说不定还有病毒要用我们不知道的端口，不过今天的毒有特点，在内网发公网源地址的包，那就iptables -I FORWARD -i eth0 -s ! 192.168.123.0/24 -j DROP。我现在不敢重启服务器，怕呀，怎么这么厉害呀，我刚才的命令已经放rc.local了，不过buring eth0里，离rc.local还差得远哩，我怕怕，各位大大救我呀：（（（（今天下午在p2 333/64m/3.2G hdd 上装redhat9，准备代替 coyote，用tcpdump抓包，要把乱发包的mac找到，然后得到ip，再到这家人去杀毒，不过这毒染得快，我怕来不及：（今天可以看出，在coyote上ping局域网地址，原来只要1ms内，今天平均在2ms多。哎

DreamCat

看来是蠕虫病毒。没办法。你的网络内的其他计算机互相之间仍在互相传播。所以会出现ping的延迟变长。

lyh

改用NAIP的驱动是不是会好点？