问:ravenkatte(涅磐) :急问急答急给分，详细内容见贴内

我的服务器突然莫明其妙多了一个IP，现初步确定是被别人装了木马，  
  此木马特征如下：  
   
  1，在客户端使用时，才开一个指定IP指定端口接收数据(也就是上面说的多的IP），  
  客户端不使用时，此IP并不打开（这样叫反弹式？）  
  2，多的IP并不在win   2k   server   的任何地方找到，（例如网络连接属性里）  
   
   
  请分析指教！，在线等待！  
  如需其它特征请指示！ 问题点数：100、回复次数：14Top

1 楼ravenkatte（Oracle Applications DBA/Technical Consultant）回复于 2002-12-02 09:50:14 得分 20

呵呵，刚才一直在水园玩，忘了回来看看有没有新问题了……  
   
  我没碰到过你说的情况，对此不是十分了解，我对这方面也不是很在行，至于说“分析指教”，就更谈不上了。既然你已经初步确定被人种了木马，可以用木马克星或者Trojan   Remover查一查呀。Top

2 楼treesman（今年流行内COOL秀）回复于 2002-12-02 10:20:09 得分 1

关注！Top

3 楼baiyu（baiyu）回复于 2002-12-02 11:01:10 得分 1

upTop

4 楼Krileny（）回复于 2002-12-02 11:09:29 得分 1

这个问题的确很怪等我问问高人再说Top

5 楼jiseng（五只山羊）回复于 2002-12-02 11:29:55 得分 0

trojan   remove这些东东的最新版已查过，当然查不到才上来问的  
   
  让各位费心的，再次感谢！Top

6 楼kkkjlw（失恋中…恢复中…恢复正常中…）回复于 2002-12-02 11:34:11 得分 1

重装网卡试试了Top

7 楼jiseng（五只山羊）回复于 2002-12-02 11:48:45 得分 0

重装网卡???  
  给个理由先，注意了，是w2k   server   ,搞不好我会被骂的(几百号人在用)Top

8 楼ToUpdate（老六）回复于 2002-12-02 13:23:24 得分 5

1，在客户端使用时，才开一个指定IP指定端口接收数据(也就是上面说的多的IP），  
  客户端不使用时，此IP并不打开（这样叫反弹式？）  
   
  IP是什么?  
  还有你的SERVER开的什么服务呀,有可能是正常服务,不是木马!Top

9 楼jiseng（五只山羊）回复于 2002-12-02 14:48:04 得分 0

To:ToUpdate(更新换代)    
  网络环境如下：  
   
  windown   2000   advance   server   +   sp3  
  isa   2000   +   sp2  
  主域控制器  
   
  有三块网卡  
  1,对外10M宽带,202.XXX.XXX.XXX  
  2,对内   192.168.170.XXX  
  3,对内   192.168.178.XXX  
   
  突然多出来的IP  
  192.168.170.220   ????!!!!  
   
  此IP并无在网络属性中找到  
   
  打开192.168.170.220,   发现共享目录同服务器的完成相同  
  扫描工具扫描此IP，发现其它信息同服务器自身的信息相同  
   
  用IP工具发现此192.168.170.220确实是服务所开，？？？？  
  且有个别用户已连到此IP的500端口？？？？状态为可用!!!!  
   
  500端口是TCP,并非UDP  
   
  重新启动服务器，IP220马上消失？??!!!!  
   
  请费心指教！Top

10 楼lqbn（长天）回复于 2002-12-02 16:33:06 得分 1

关注中……Top

11 楼ToUpdate（老六）回复于 2002-12-02 16:46:45 得分 1

呵呵,看来是有点麻烦哈...  
   
  一般BO用5312或是2000端口!  
   
  你有没有如虚拟拨号的软件等...  
   
  还有,你的ISA是干什么用的？Top

12 楼aznarble（returned? not yet.）回复于 2002-12-02 17:09:17 得分 5

您可以确定192.168.170.220是和哪一块网卡绑定的吗？  
   
  请您张贴一下执行了ipconfig   /all的结果。Top

13 楼lijiuhua0721（随缘）回复于 2002-12-05 20:30:53 得分 5

如果是宽带并且还有局域网的话三个IP地址应该是正常的  
   
  —————————————————————————————————  
                                  ^_^让我们共同努力吧！！！！^_^  
  —————————————————————————————————  
  Top

14 楼whoamiyxzh（印相纸）回复于 2002-12-05 22:30:27 得分 59

其实，在局域网内用防火墙做代理比较爽，现在有很多硬件防火墙都有此项功能！具体做法，给你的路由器分配一个真实的IP，给防火墙分配一个192.168.0.1或别的IP（虚拟的），每个服务器都只用一个网卡，并关掉服务器的代理软件和DHCP，然后在防火墙上开启DHCP，         并做LAN--->WAN和WAN--->LAN的限制！！很方便！很好用！！！注意，将防火墙挂在路由器的后面！！再将防火墙和内网的总交换机相连，服务器和工作站都设一个网段内的IP。OK！！Top

相关问题

• ip
• 防火墙
• 端口
• 服务器
• 客户
• 网络
• server
• 木马
• 网卡
• 指教

• 帖主：jiseng
• ravenkatte
• treesman
• baiyu
• Krileny
• kkkjlw
• ToUpdate
• lqbn
• ToUpdate
• aznarble
• lijiuhua0721
• whoamiyxzh

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道