荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: jjksam (eee), 信区: sysop
标  题: 请下列ip拥有者看里面(关于DDoS攻击的)
发信站: 荔园晨风BBS站 (Fri Sep 26 11:18:09 2003), 站内信件

木马清除办法在ip列表下面, 请大家尽快清除掉此木马,使荔园晨风的服务恢复正常。
请认识下列ip拥有者的也尽快通知他们。
多谢大家合作!

可疑ip列表(怀疑中了专门作DDoS攻击的木马):
(攻击80端口的ip)
192.168.0.68
192.168.24.9

(攻击23端口的ip)
192.168.0.50
192.168.0.24
192.168.6.17
192.168.8.240
192.168.9.66
192.168.10.164
192.168.14.39
192.168.22.44
192.168.22.176
192.168.27.83
192.168.27.29
192.168.28.172
192.168.28.241
192.168.32.100
192.168.33.134
192.168.36.98
192.168.36.163
192.168.36.218
192.168.37.26
192.168.39.39
192.168.43.89
192.168.45.213
192.168.48.216
192.168.64.73
192.168.64.55
192.168.72.71
192.168.73.106
192.168.75.108
192.168.75.132
192.168.82.163
192.168.83.2

清除方法:

我只找到攻击23端口的木马样本。

这个DDoS木马不能用norton,瑞星清除。木马运行时,使用系统者不会有特殊感觉。
可以手动删除。

木马特征,运行后,在注册表增加下面键值,删除后下次启动系统时,就不会
运行木马程序。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rising"="Rising.exe"

木马文件名暂时有sysconfig32.exe, Rising.exe两种,是否同样的木马我还没确认。

另外,在windows任务管理器中可以看到这个程序的进程,可以终止,终止后
不会出现下面的SYN_SENT信息:

C:\>netstat -n

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    192.168.0.234:1041     210.39.3.50:81         ESTABLISHED
  TCP    192.168.0.234:1042     210.39.3.50:81         ESTABLISHED
  TCP    192.168.0.234:1211     210.39.3.50:222        ESTABLISHED
  TCP    192.168.0.234:1217     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1218     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1219     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1220     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1221     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1222     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1223     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1224     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1225     210.39.3.50:23         SYN_SENT
  TCP    192.168.0.234:1226     210.39.3.50:23         SYN_SENT

--
      ξ
      █D

 Would you like to have a cup of tea with me?

※ 修改:·jjksam 於 Sep 26 11:27:40 修改本文·[FROM: 192.168.0.234]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.234]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店