减小字体
增大字体- ·上一篇文章:亲密接触Discuz!NT之架构篇
- ·下一篇文章:如何防止黒客远程盗取QQ密码
防火墙日志记录让蠕虫病毒无处可逃
近日经实践发现,利用天网同样可以知道哪台计算机中了“尼姆达病毒”。下面就以两个典型的天网日志为例,加以分析,供大家参考。
范例一
天网日志如下:
[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。
日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。
范例二
天网日志如下:
[14:00:24] 10.100.2.246 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:09] 10.100.10.72 尝试用Ping来探测本机,
范例一
天网日志如下:
[11:58:08] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:11] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:17] 10.100.2.68试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
[11:58:18] 10.100.2.74试图连接本机的NetBios-SSN[139]端口,
TCP标志:S,
该操作被拒绝。
特征:某一IP连续多次连接本机的NetBios-SSN[139]端口,表现为时间间隔短,连接频繁。
日志解读 日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。
范例二
天网日志如下:
[14:00:24] 10.100.2.246 尝试用Ping来探测本机,
该操作被拒绝。
[14:01:09] 10.100.10.72 尝试用Ping来探测本机,
