昨天上午到某局,他们那里有几台机器不断的向外发包,应该是某个蠕虫干的,在一台机器上安装的Sniffer Pro显示发的是MSRPC_CL包,所以怀疑它是利用Windows系统漏洞的蠕虫,但是看进程都是正常的,没看到一个异常,或隐藏进程。
后来另外一个同事过来,也是没看到异常进程,于是他用反线和那机器连接用EtherPeek抓包,看到发的UDP包目的端口都是1434,确定是SQL的蠕虫,重启,安装SQL Server 2000 SP4,OK!顺便把几个Windows 2000的重要补丁也打上:)
1 Comment
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
那一天正在骑车 接完电话也没有听说过这么个东西~~~ 还自责自己对业界信息台不敏感了。
Comment by B.H.M on September 28th, 2005 @ 2:11 pm