快速业务通道

Linux中蠕虫病毒,导致办公室网络中断

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-05-03
今天一早上班网络就不正常,监控系统已向我发了2000多封网络故障邮件,估计昨晚就出问题了;初步确定是办公室5M城域网故障,ping内部网关也出现丢包现象;局域网内部网络正常,用PRTG查看流量发现并不大,才达到2M; 为何会丢包呢?让我一下子很难弄明白;1.流量不大肯定不是下载导致 2.ping网关也会出现丢包和中断,让我考虑到可能是arp攻击导致,但arp防火墙并没发现攻击包,并且现象与arp攻击有些区别; 做过简单的排除后并没找出原因,然后使用sniffer去抓包,发现有台Linux机器不断的向公网的很多ip发包,包很小只发包没收包,立即去拔了此Linux机器的网线;网络马上就恢复正常了,整个网络故障处理只用了10分钟; sniffer抓包图 为了进一步的搞清楚此Linux对外攻击是怎样产生的,本机登入系统(明显感觉登入系统很慢),使用 top命令查看发现有个pscan2的进程占用cpu 96%,如图 top图 使用find命令查看 pscan2文件 # find / -name pscan2 根据路径发现在/home/William目录下找到pscan2的相应文件夹及相关程序文件如下图: 蠕虫病毒pscan2相关文件图 此病毒程序是用C写的,具体实现的功能是,扫描公网内所有ip地址的22端口,并试图用密码字典破解公网内的Linux机器的帐号密码,如果获取到帐号密码从而将此蠕虫病毒程序导入此机器,这时此机器就变为了别人的“肉鸡”,为他人所控制; 具体为何会影响到我们办公室网络呢,此蠕虫病毒对外扫描速度是非常快的,严重占用你防火墙的会话数,一直攻击你的网关,使防火墙瘫痪,从而网络出现中断;我们这台Linux机器是用来做测试服务器的,没有安全上的管理,测试人员设置的帐号密码过于简单,这次被破解的帐号密码设置的一样是常用的英文名;被破解非常容易的事情; 从此案例中我们要注意,以后我们机器的密码最好设置复杂些,这样安全性也会高,要不然哪天你的电脑就被“肉鸡”了; 原创2009-4-20 [url]http://herod.blog.51cto.com[/url]
[url]http://blog.163.com/herod_xiao[/url]

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号