z**r
发帖数: 17771 | 1 厚厚。
事情是这样的,新年伊始,发现经常用的一个IPSec VPN很奇怪,经常是过几分钟VPN
Session就死掉了,而且死得很奇怪,如果是timeout的话,应该tear down才对,但是
这个session是不能访问所有的server/router,可vpn是up的。开始怀疑2个原因,第一
个是那个VPN server做了什么改动,第二是俺家里的FiOS router被verizon改了什么。
今天早晨,收到公司负责security的IT打来电话,同时有一个case是在俺名下开的,说
俺pc被检测出有worm动作,scan network,等等,于是花了一个上午查病毒,又安装了
另外一个防毒软件,在正常模式下查完,又到safe mode下查,下午终于查完了,几个
防毒软件都是没有发现任何东西。
后来跟同事通话,无意中聊起那个VPN的事情,同事表示没有压力,俺就开始怀疑俺的
安装VPN的那个virtual machine了。
因为那个VM只用来跑这个VPN,然后就是telnet/ssh到server/router上,别的事情都不
干,所以没觉得会是有病毒,于是从网络开始着手查找。首先认真看了错误信息,发现
跟平时不太一样,是说no buffer space available,而不是平时常见的connection
error,而且更重要的是发现existing telnet/ssh是没有问题的,是新建的不行。于是
netstat -n一看,看到很多tcp sessions,很不对劲,很多都是localhost to
localhost的session,感觉这台机器出问题了。赶紧安装了防毒软件,一查,果然有个
conficker worm。杀掉了就一切正常了。奇怪这个worm是怎么感染的,查了browser记
录,只访问过极个别几个网站,儿这几个网站不是cisco.com, 就是att.com,要么就是
microsoft.com,还有gmail, google,都不打可能有spyware啊。
教训就是千万不能相信windows啊,自从有windows俺这台VM是唯一一台裸奔的,什么都
不敢访问,还中招了。相比俺另一台VM,跑Ubuntu,经常网上看毛片啥的,而且啥网站
不放心,就用那台机器来试水,多少年了,从来没有过这种问题。 |
z**r
发帖数: 17771 | 2 突然觉得,来源可能是gmail里的spam邮件。。。
【在 z**r 的大作中提到】
: 厚厚。
: 事情是这样的,新年伊始,发现经常用的一个IPSec VPN很奇怪,经常是过几分钟VPN
: Session就死掉了,而且死得很奇怪,如果是timeout的话,应该tear down才对,但是
: 这个session是不能访问所有的server/router,可vpn是up的。开始怀疑2个原因,第一
: 个是那个VPN server做了什么改动,第二是俺家里的FiOS router被verizon改了什么。
: 今天早晨,收到公司负责security的IT打来电话,同时有一个case是在俺名下开的,说
: 俺pc被检测出有worm动作,scan network,等等,于是花了一个上午查病毒,又安装了
: 另外一个防毒软件,在正常模式下查完,又到safe mode下查,下午终于查完了,几个
: 防毒软件都是没有发现任何东西。
: 后来跟同事通话,无意中聊起那个VPN的事情,同事表示没有压力,俺就开始怀疑俺的
|
he
发帖数: 2025 | 3 我也得整一个油板兔了,坐我旁边的人刚刚总结过: 成人网站+下载,非油板兔不可! |
m**t
发帖数: 1292 | 4 我通常 sniff 网络大多WORM 都产生奇怪的traffic... windows 很差,以前做病毒实
验很容易将其感染。 做个 clean image backup 好恢复,有些毒杀起来很烦 |
S*A
发帖数: 7142 | 5 有些旧的浏览器漏洞可以显示图片就中招的,这些一般被报告了很快
有更新。如果你的 windows 不是一直升级的话很容易中招的。
新的 worm 传播方式更多的是从广告,论坛这些用户生成内容的
地方插入恶意内容的。例如某人可以在 mitbbs 上穿一堆转来的
图片,其中有 1 pixel 的图片个打不开,一般人也不注意。
看的人多了,总有些人中招了,it is a number's game。
甚至 google 的广告都也能出这样的东西,因为广告的内容 google
不是能完全控制的。这些一般也不是广告厂商做坏事,因为一旦发现
就直接黑名单了,提醒都没有的,流量损失很大的。通常是很多厂商
的网站被 hijack了,也是收害人。
【在 z**r 的大作中提到】
: 厚厚。
: 事情是这样的,新年伊始,发现经常用的一个IPSec VPN很奇怪,经常是过几分钟VPN
: Session就死掉了,而且死得很奇怪,如果是timeout的话,应该tear down才对,但是
: 这个session是不能访问所有的server/router,可vpn是up的。开始怀疑2个原因,第一
: 个是那个VPN server做了什么改动,第二是俺家里的FiOS router被verizon改了什么。
: 今天早晨,收到公司负责security的IT打来电话,同时有一个case是在俺名下开的,说
: 俺pc被检测出有worm动作,scan network,等等,于是花了一个上午查病毒,又安装了
: 另外一个防毒软件,在正常模式下查完,又到safe mode下查,下午终于查完了,几个
: 防毒软件都是没有发现任何东西。
: 后来跟同事通话,无意中聊起那个VPN的事情,同事表示没有压力,俺就开始怀疑俺的
|
f*******5
发帖数: 10321 | 6 你浏览器不是保护模式运行?
【在 z**r 的大作中提到】
: 突然觉得,来源可能是gmail里的spam邮件。。。
|
l********3
发帖数: 17249 | |
z**r
发帖数: 17771 | 8 丫鬟居然来这个版?
【在 l********3 的大作中提到】
: cong。。。
|
v**n
发帖数: 951 | 9 你点了邮件?还是下载了附件?
就算啥都不做,把windows放在公网上,要不了多少时候就发现被攻击了。
我的机器也发生过,居然一个俄国鬼子在我的机器上起了FTP还开了个BT download.
【在 z**r 的大作中提到】
: 突然觉得,来源可能是gmail里的spam邮件。。。
|
z**r
发帖数: 17771 | 10 都不记得什么时候感染的了。俺那台VM一般要经过最少2次NAT才能到公网,而且也没有
VIP,应该不是被人攻击了,还是自己不小心造成的,但是不知道是哪个email干的,一
班spam俺都是直接删除的,看来email server应该有个cloud anti-virus手段才行,好
像Yahoo的就有,gmail的貌似没有
【在 v**n 的大作中提到】
: 你点了邮件?还是下载了附件?
: 就算啥都不做,把windows放在公网上,要不了多少时候就发现被攻击了。
: 我的机器也发生过,居然一个俄国鬼子在我的机器上起了FTP还开了个BT download.
|
