找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4270|回复: 2

又中毒了!封了6667

[复制链接]
发表于 2004-12-1 20:54:13 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
又中毒了!!!!今天有小区用户反映上不了网,就去楼顶看,coyote停在dhcp server处,想是停电后来电启动失败吧,于是重启,这下停在buring eth0处,提示much work interrupt,想起前两天才在论坛上看到有人说有这个现象,想不到好运就降临我头上了:(换版本的软盘,依然如此。想把网卡换到空的pci槽上,却没带改刀。就叫他们回去拿另一台电脑,顺便带个改刀上。然后我一个人在楼顶想原因,见网卡灯飞闪,于是再重启,在eth0处停了,我就拨掉网线,好,启动成功了,我把网线插上,这下机子就慢得很了:(我用free看,怎么内存就用了7m多了,用uptime,cpu占用高呀。more /proc/net/ip_conntrack,这下看出端倪来了。有很多202.x.x.x的源地址发包到61.x.x.x,地址都在不断增加,但目的端口都是6667,想起我前一两个月在另一个小区windows下抓包,也看到这种伪造的源地址疯狂发包。这个比我前几天封445并找到发包者糟,因为这个源地址是假的,不知是局域网哪台中了毒。连接表里更怪的,连接状态是ESTABLISHED,想不出这握手是如何成功的。后面竟然是[UNREPLIED],这分明是没有回复嘛。实在想不通!!一两个月前在另一个小区我们是拨线隔离,但这个小区分散,这种不行。于是iptables -I FORWARD -p tcp --dport 6667 -j DROP,这下稳住了。后来想,说不定还有病毒要用我们不知道的端口,不过今天的毒有特点,在内网发公网源地址的包,那就iptables -I FORWARD -i eth0 -s ! 192.168.123.0/24 -j DROP。我现在不敢重启服务器,怕呀,怎么这么厉害呀,我刚才的命令已经放rc.local了,不过buring eth0里,离rc.local还差得远哩,我怕怕,各位大大救我呀:((((今天下午在p2 333/64m/3.2G hdd 上装redhat9,准备代替 coyote,用tcpdump抓包,要把乱发包的mac找到,然后得到ip,再到这家人去杀毒,不过这毒染得快,我怕来不及:(今天可以看出,在coyote上ping局域网地址,原来只要1ms内,今天平均在2ms多。哎
routeros
发表于 2004-12-2 16:51:20 | 显示全部楼层
看来是蠕虫病毒。没办法。你的网络内的其他计算机互相之间仍在互相传播。所以会出现ping的延迟变长。
routeros
回复

使用道具 举报

发表于 2005-1-15 02:19:38 | 显示全部楼层
改用NAIP的驱动是不是会好点?
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-24 06:39 , Processed in 0.042496 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表