今天一早上班网络就不正常,监控系统已向我发了2000多封网络故障邮件,估计昨晚就出问题了;初步确定是办公室5M城域网故障,ping内部网关也出现丢包现象;局域网内部网络正常,用PRTG查看流量发现并不大,才达到2M;
        为何会丢包呢?让我一下子很难弄明白;1.流量不大肯定不是下载导致 2.ping网关也会出现丢包和中断,让我考虑到可能是arp攻击导致,但arp防火墙并没发现攻击包,并且现象与arp攻击有些区别;
        做过简单的排除后并没找出原因,然后使用sniffer去抓包,发现有台Linux机器不断的向公网的很多ip发包,包很小而且只发包没收包,立即去拔了此Linux机器的网线;网络马上就恢复正常了,整个网络故障处理只用了10分钟;
sniffer抓包图
        为了进一步的搞清楚此Linux对外攻击是怎样产生的,本机登入系统(明显感觉登入系统很慢),使用
top命令查看发现有个pscan2的进程占用cpu 96%,如图
top图
使用find命令查看 pscan2文件
# find  / -name pscan2
根据路径发现在/home/William目录下找到pscan2的相应文件夹及相关程序文件如下图:
蠕虫病毒pscan2相关文件图
       此病毒程序是用C写的,具体实现的功能是,扫描公网内所有ip地址的22端口,并试图用密码字典破解公网内的Linux机器的帐号密码,如果获取到帐号密码从而将此蠕虫病毒程序导入此机器,这时此机器就变为了别人的“肉鸡”,为他人所控制;
       具体为何会影响到我们办公室网络呢,因为此蠕虫病毒对外扫描速度是非常快的,严重占用你防火墙的会话数,一直攻击你的网关,使防火墙瘫痪,从而网络出现中断;
        我们这台Linux机器是用来做测试服务器的,没有安全上的管理,测试人员设置的帐号密码过于简单,这次被破解的帐号密码设置的一样而且是常用的英文名;所以被破解非常容易的事情;
         从此案例中我们要注意,以后我们机器的密码最好设置复杂些,这样安全性也会高,要不然哪天你的电脑就被“肉鸡”了Linux中蠕虫病毒,导致办公室网络中断
                                               原创2009-4-20
                                            [url]http://herod.blog.51cto.com[/url]
                                            [url]http://blog.163.com/herod_xiao[/url]