作者Peterick (內有名片自介 ♂)
看板NetSecurity
標題[問題] 區網內有電腦中殭屍病毒?
時間Sat May 29 16:37:26 2010
最近一個客戶有個狀況 , 他們的 ISP 端告知他們的人員
他們內部有人的電腦中了殭屍病毒 , 對外面的主機一直發出攻擊
可是內部有大概三四十台的電腦 ,
他們也沒有防火牆
只是一台簡單的 IP 分享器 + 16 port 無網管功能的 switch
有甚麼快速的方法可以把中毒的那台電腦抓出來嗎 ...
麻煩各位高手不吝指教了 ...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.116.93.41
1F:→ forfix:用Wireshark 看IP分享器Lan 的連線 05/29 19:23
2F:→ Peterick:看不到, 他的分享器只有兩個PORT = =|| 05/30 19:52
3F:→ nakami:ip 分享器應該有鎖mac連線功能, 先把確定沒問題的mac鎖定 05/31 10:52
4F:→ nakami:接下來一台一台檢查, 05/31 10:52
5F:→ nakami:每台電腦都用netstat -a 看沒有特別的對外連線 05/31 10:54
6F:推 meto000:16 PORT switch 是怎麼接3.40台電腦啊? 06/02 01:33
7F:→ makeabomb:全部關掉…然後一台一台的開 06/02 16:47
8F:→ Peterick:這是個好問題 ..16 port 如何接到 30 台電腦 ... 06/02 17:02
9F:→ Peterick:原因很簡單 ..有的辦公室只有拉一條網路線過去 .. 06/02 17:03
10F:→ Peterick:然後那條網路線接在 8 PORT 的 switch 分享給大家 = =|| 06/02 17:03
11F:推 meto000:不這樣接是要怎麼接?從機房拉3.40條線到所有PC? 06/02 23:53
12F:→ legbig:開防火牆 06/05 16:56