|
 | 作者: triones [pig4210]
 论坛用户 |
登录 |
| 近来一个礼拜,我们校园网上就不安宁,我的天网频频出现下列日志。请问,如此说来,校园网上可能存在的哪一种病毒或木马?谢谢! [13:59:03] 172.16.72.36试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [13:59:03] 172.16.72.36试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [13:59:05] 172.16.72.36试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [13:59:11] 172.16.72.36试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:04:29] 172.16.80.25试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:04:32] 172.16.80.25试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:04:38] 172.16.80.25试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:04:55] 172.16.80.48试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:04:58] 172.16.80.48试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的135端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的6129端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的2745端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的3127端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的445端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的NetBios-SSN[139]端口, TCP标志:S, 该操作被拒绝。 [14:05:05] 172.16.80.48试图连接本机的1025端口, TCP标志:S, 该操作被拒绝。 |
| 地主 发表时间: 04-05-14 14:15 |
 | 回复: lobam [xx_js]  论坛用户 |
登录 |
|
扫 445 135 139 1025 端口的病毒很多 不好说 |
| B1层 发表时间: 04-05-14 16:12 |
| 回复: lobam [xx_js] 论坛用户 |
登录 |
|
ForeScout公司开发了一种叫做ActiveScout的防入侵技术,它有助于查明黑客的企图并防止网络攻击。据它观测,现在具有黑客行为的攻击与扫描具有以下特征: 约90%的攻击来自蠕虫 由于蠕虫病毒具有自动攻击和快速繁殖的特性,因此,它占网络攻击的大约90%,通常是系统扫描或同步攻击。其中,大部分网络攻击的来源地是美国。根据ActiveScout的数据,这些蠕虫病毒繁殖迅速,扫描和攻击相隔的时间很短,因此无法人为控制。蠕虫病毒也具有反复攻击的特性,它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施,攻击/扫描的成功率将达到30%,即在10次扫描中,有3次能获得结果并可进行攻击。 96%的扫描集中在端口 端口扫描在网络扫描中大约占了96%,UDP(User Datagram Protocol)服务次之,占3.7%。除了这两种之外,剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击,因为这些攻击可能会感染所有的Windows系统。同时,在发送流量之前,要求ISP对所有的NetBIOS流量进行过滤。 有调查表明:在过去的半年中,存在危险性的Internet流量数量已经增加了2倍;暗噪声主要是由网络探测引起的,45%到55%的可疑行为都是黑客对计算机的扫描造成的;大多数攻击都是自动的,小型程序攻击通常来自以前中毒的计算机;黑客攻击这些网络的主要原因是寻找他们能用来传播垃圾邮件、为非法文件寻找特别存储空间的计算机,或者占用可用于下一次攻击的机器。 10种端口最易受攻击 某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据,这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间,黑客攻击端口的事件有12000次之多,下表是攻击的详细情况。 端口号 服务 攻击事件数 说 明 135和445 windows rpc 分别为42次和457次 表明可能感染了最新的windows病毒或蠕虫病毒 57 email 56次 黑客利用fx工具对这个端口进行扫描,寻找微软web服务器的弱点 1080,3128,6588,8080 代理服务 分别为64、21、21、163次 表示黑客正在进行扫描 25 smtp服务 56次 是黑客探测smtp服务器并发送垃圾邮件的信号 10000+ 未注册的服务 376次 攻击这些端口通常会返回流量,原因可能是计算机或防火墙配置不当, 或者黑客模拟返回流量进行攻击 161 snmp服务 937次 成功获得snmp可能会使黑客完全控制路由器、防火墙或交换机 1433 微软sql服务 147次 表明计算机可能已经感染了sql slammer蠕虫病毒 53 dns 1797次 表明防火墙或lan配置可能有问题 67 引导程序 23次 表明设备可能配置不当 2847 诺顿反病毒服务 55次 表明计算机存在设置问题 |
| B2层 发表时间: 04-05-14 17:24 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 请问以下日志是由什么病毒引起?