6,185
社区成员
发帖
与我相关
我的任务
分享超急!!!网络内的几台主机向一批多播地址狂发数据包(附截图),是何原因?
前天发现网络内的交换机数据灯狂闪,用sniffer发现网络内有几台(不是全部的服务器都这样,也装有win 2000 server +sql 2000)服务器向一批多播地址狂发数据包,导致网络瘫坏,带宽利用率接近100%。
用taskinfo检查这几台服务器的CPU,内存利用率都正常,也没有发现异常进程在活动;
用netstat -an 和Active Ports检查网络端口连接,也没发现异常;
查看本机norton 7.6 Client病毒记录,没有异常病毒;
重启这些服务器数次后情况依旧,无奈中将这几台服务器的网卡从设备管理器卸载,重启机器后重新配置网络配置,网络状态恢复正常,服务器不再向外界狂发数据包。
但间隔数小时后,又有个别服务器返回到狂发数据包的状态,卸载网卡后又恢复正常。
********现在仍在进一步观察中。。。并有几点疑问向大家请教:
1、为何是向多播地址狂发数据包?注意:是向多播地址发包,而不是广播地址。什么情况下会出现这种现象?
2、为何卸载网卡重新配置后网络恢复正常,间隔数小时后又偶有发生?如果是病毒引起,为何卸载网卡后网络会正常?如果是网卡有问题,是不是有点巧合,有数据台服务器都先后出问题?
-------------附图:----------------------
****一服务向多播地址狂发数据包,sniffer pro 4.7截图:
http://www.ifeeling.net/tempimg/Snap-17-p1.jpg
http://www.ifeeling.net/tempimg/Snap-17-p2.jpg
****带宽利用率达100%, sniffer pro 4.7 截图:
http://www.ifeeling.net/tempimg/Snap-18-u1.jpg
******网络部分接口的数据传输出错和丢包状态 截图:
http://www.ifeeling.net/tempimg/Snap-Net-Status.jpg
用taskinfo检查这几台服务器的CPU,内存利用率都正常,也没有发现异常进程在活动;
用netstat -an 和Active Ports检查网络端口连接,也没发现异常;
查看本机norton 7.6 Client病毒记录,没有异常病毒;
重启这些服务器数次后情况依旧,无奈中将这几台服务器的网卡从设备管理器卸载,重启机器后重新配置网络配置,网络状态恢复正常,服务器不再向外界狂发数据包。
但间隔数小时后,又有个别服务器返回到狂发数据包的状态,卸载网卡后又恢复正常。
********现在仍在进一步观察中。。。并有几点疑问向大家请教:
1、为何是向多播地址狂发数据包?注意:是向多播地址发包,而不是广播地址。什么情况下会出现这种现象?
2、为何卸载网卡重新配置后网络恢复正常,间隔数小时后又偶有发生?如果是病毒引起,为何卸载网卡后网络会正常?如果是网卡有问题,是不是有点巧合,有数据台服务器都先后出问题?
-------------附图:----------------------
****一服务向多播地址狂发数据包,sniffer pro 4.7截图:
http://www.ifeeling.net/tempimg/Snap-17-p1.jpg
http://www.ifeeling.net/tempimg/Snap-17-p2.jpg
****带宽利用率达100%, sniffer pro 4.7 截图:
http://www.ifeeling.net/tempimg/Snap-18-u1.jpg
******网络部分接口的数据传输出错和丢包状态 截图:
http://www.ifeeling.net/tempimg/Snap-Net-Status.jpg
...全文
请发表友善的回复…
发表回复
大漠孤沙 2004-09-22
- 打赏
- 举报
这个问题真的没人能解释吗?
看样子要请版主置顶了。。。
看样子要请版主置顶了。。。
大漠孤沙 2004-09-08
- 打赏
- 举报
唉,当时数据包倒是抓了不少,只是没能力分析。后来时间一长就找不到抓下来的数据包了。
我只要讨个说法,呵呵。。。
我只要讨个说法,呵呵。。。
happyhunter 2004-08-20
- 打赏
- 举报
感觉还是像病毒的原因。你在出问题的主机上装上fport,看以下本地打开的端口情况和进程情况。
用我推荐的杀毒软件来杀一下,macfee ,升级到最新版本,我这里用这个东东还没有没杀到的病毒
用我推荐的杀毒软件来杀一下,macfee ,升级到最新版本,我这里用这个东东还没有没杀到的病毒
suqi327 2004-08-19
- 打赏
- 举报
楼上的几乎把所有可能都说完了。但不知道问题解没有?
prettyjerry 2004-08-19
- 打赏
- 举报
我家用电脑(跟同学一起住,我做主机,连网用)狂发数据包。而且经常出现svchost.exe占用系统资源100%。网络奇慢。安装了正版金山毒霸6。还有最新的诺顿,和天网,无效。系统的补丁都打完了。求救
Aceryt 2004-08-19
- 打赏
- 举报
呵呵,关注一下,没见过这样的场面,你有尝试过截获数据包,分析里面的数据吗。
bin010101 2004-08-19
- 打赏
- 举报
关注!
jackeywlof 2004-08-19
- 打赏
- 举报
十有八九是病毒,断网杀毒吧
还有就是交换机温度高不高?
还有就是交换机温度高不高?
Davelu 2004-08-19
- 打赏
- 举报
把SQL SP3打上,MS上有下载的。
大漠孤沙 2004-08-19
- 打赏
- 举报
大家都来支持一下,谢谢!
水哥工坊 2004-08-19
- 打赏
- 举报
winpsd进程杀掉,再慢慢处理
水哥工坊 2004-08-19
- 打赏
- 举报
W32.Mydoom.Q@mm 病虫是一种会下载一个执行档并寄发大量邮件的病虫,它会使用自身的 SMTP 引擎将病毒传送至由感染计算机中所找到的电子邮件地址。
下载的执行档侦测为 Backdoor.Nemog.
受感染的电子邮件具有下列特征:
寄件者:(伪装寄件者名称)
主旨: Photos
附件: photos_arc.exe
注意:
W32.Mydoom.Q@mm 运行时会执行下列操作:
建立档案 %Temp%\Message 并在记事本中开启. 此档案内为垃圾档案
将自身复制到 :
%System%\winpsd.exe
%Windows%\rasor38a.dll
Notes:
%System% 是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
%Windir% 是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹 C:\Windows (Windows 95/98/Me/XP)or C:\Winnt (Windows NT/2000).
建立名为 "43jfds93872"的mutex, 如此一来在受感染计算机上将只有一个病毒被执行.
下载下列档案:
ispy.1.jpg
coco3.jpg
temp587.gif
temp728.gif
从
www.richcolour.com
zenandjuice.com
注意: 下载的执行档侦测为 Backdoor.Nemog 并储存为 winvpn32.exe执行
将值:
"winpsd"="%System%winpsd.exe"
添加到下注册表键中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
这样,病虫便可在 Windows 启动时运行。
将值:
"InstaledFlashhMx"="1"
添加到下注册表键中:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
此为感染指针,指示出计算机已成功的下载并执行 Backdoor.Nemog.
创建下列值::
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
在具有下列扩展名的文件中搜索电子邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
.pl
在 Outlook 中搜索电子邮件地址.
此病虫使用自身的 SMTP 引擎将自己传送到所找到的电子邮件地址.
此类电子邮件有以下特征:
寄件者:
寄件者名称会使用感染计算机的使用者名称会是下列其中一个名称:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra
网域会是下列其中一个:
t-online.de
mail.com
yahoo.com
hotmail.com
The domain of the email address read from:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
主题: Photos
正文: LOL!;))))
附件: photos_arc.exe
该蠕虫会避开包含下列字符串的电子邮件地址:
avpsyma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
be_loyal:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
abuse
upport
www
spm
spam
www
secur
abuse
下载的执行档侦测为 Backdoor.Nemog.
受感染的电子邮件具有下列特征:
寄件者:(伪装寄件者名称)
主旨: Photos
附件: photos_arc.exe
注意:
W32.Mydoom.Q@mm 运行时会执行下列操作:
建立档案 %Temp%\Message 并在记事本中开启. 此档案内为垃圾档案
将自身复制到 :
%System%\winpsd.exe
%Windows%\rasor38a.dll
Notes:
%System% 是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
%Windir% 是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹 C:\Windows (Windows 95/98/Me/XP)or C:\Winnt (Windows NT/2000).
建立名为 "43jfds93872"的mutex, 如此一来在受感染计算机上将只有一个病毒被执行.
下载下列档案:
ispy.1.jpg
coco3.jpg
temp587.gif
temp728.gif
从
www.richcolour.com
zenandjuice.com
注意: 下载的执行档侦测为 Backdoor.Nemog 并储存为 winvpn32.exe执行
将值:
"winpsd"="%System%winpsd.exe"
添加到下注册表键中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
这样,病虫便可在 Windows 启动时运行。
将值:
"InstaledFlashhMx"="1"
添加到下注册表键中:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
此为感染指针,指示出计算机已成功的下载并执行 Backdoor.Nemog.
创建下列值::
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
在具有下列扩展名的文件中搜索电子邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.wab
.pl
在 Outlook 中搜索电子邮件地址.
此病虫使用自身的 SMTP 引擎将自己传送到所找到的电子邮件地址.
此类电子邮件有以下特征:
寄件者:
寄件者名称会使用感染计算机的使用者名称会是下列其中一个名称:
john
alex
michael
james
mike
kevin
david
george
sam
andrew
jose
leo
maria
jim
brian
serg
mary
ray
tom
peter
robert
bob
jane
joe
dan
dave
matt
steve
smith
stan
bill
bob
jack
fred
ted
adam
brent
alice
anna
brenda
claudia
debby
helen
jerry
jimmy
julie
linda
sandra
网域会是下列其中一个:
t-online.de
mail.com
yahoo.com
hotmail.com
The domain of the email address read from:
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager
主题: Photos
正文: LOL!;))))
附件: photos_arc.exe
该蠕虫会避开包含下列字符串的电子邮件地址:
avpsyma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
be_loyal:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
accoun
abuse
upport
www
spm
spam
www
secur
abuse
icuc88 2004-08-19
- 打赏
- 举报
http://www.microsoft.com/sql/downloads/default.asp
http://www.microsoft.com/downloads/details.aspx?FamilyID=b974ba7a-a9fa-49d1-bbb7-2bee43cf64d7&displaylang=zh-cn
http://www.microsoft.com/downloads/details.aspx?FamilyID=b974ba7a-a9fa-49d1-bbb7-2bee43cf64d7&displaylang=zh-cn
prettyjerry 2004-08-19
- 打赏
- 举报
什么是红色代码?各位大哥可以帮帮忙吗?电脑实在很难用。。唉~
pqda 2004-08-19
- 打赏
- 举报
今年比较流行的红色代码?
prettyjerry 2004-08-19
- 打赏
- 举报
解决了我就不用喊救命了。我是2000pro版。装了金山6,诺顿8,天网2.61。2000的updata都打完。有装了sql server,但我都不用sql。数据包狂发,svchost.exe占用100%。估计是中木马,病毒。可是就是查不出来。
luofengsky 2004-05-09
- 打赏
- 举报
不像硬件故障,我也觉得很像病毒。
Davelu 2004-05-09
- 打赏
- 举报
认为还是病毒,把所有的重要补丁都打上。
大漠孤沙 2004-05-09
- 打赏
- 举报
谁能告诉我?
oicqliuyong 2004-03-21
- 打赏
- 举报
对啊 ,为什么向多播地址发包呢?难道是DDOS,你的服务器被攻陷了?还是新病毒???或者是网卡出现问题。硬件故障??
加载更多回复(5)
