作者Peterick (内有名片自介 ♂)
看板NetSecurity
标题[问题] 区网内有电脑中殭屍病毒?
时间Sat May 29 16:37:26 2010
最近一个客户有个状况 , 他们的 ISP 端告知他们的人员
他们内部有人的电脑中了殭屍病毒 , 对外面的主机一直发出攻击
可是内部有大概三四十台的电脑 ,
他们也没有防火墙
只是一台简单的 IP 分享器 + 16 port 无网管功能的 switch
有甚麽快速的方法可以把中毒的那台电脑抓出来吗 ...
麻烦各位高手不吝指教了 ...
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.116.93.41
1F:→ forfix:用Wireshark 看IP分享器Lan 的连线 05/29 19:23
2F:→ Peterick:看不到, 他的分享器只有两个PORT = =|| 05/30 19:52
3F:→ nakami:ip 分享器应该有锁mac连线功能, 先把确定没问题的mac锁定 05/31 10:52
4F:→ nakami:接下来一台一台检查, 05/31 10:52
5F:→ nakami:每台电脑都用netstat -a 看没有特别的对外连线 05/31 10:54
6F:推 meto000:16 PORT switch 是怎麽接3.40台电脑啊? 06/02 01:33
7F:→ makeabomb:全部关掉…然後一台一台的开 06/02 16:47
8F:→ Peterick:这是个好问题 ..16 port 如何接到 30 台电脑 ... 06/02 17:02
9F:→ Peterick:原因很简单 ..有的办公室只有拉一条网路线过去 .. 06/02 17:03
10F:→ Peterick:然後那条网路线接在 8 PORT 的 switch 分享给大家 = =|| 06/02 17:03
11F:推 meto000:不这样接是要怎麽接?从机房拉3.40条线到所有PC? 06/02 23:53
12F:→ legbig:开防火墙 06/05 16:56