星期二, 12月 01, 2009

木馬,你實在太強了

  今天早上覺得網路比較慢,連到 pfSense防火牆用bandwidthddarkstat看流量,發現某台電腦的上傳流量高得驚人(是的,敝公司很窮也很省,所以沒有可以monitor網路的switch),占了全公司上傳流量的90%。

  用XP的nbtstat -A [ip],找出是公司的工讀生用的電腦,此時在下敝人小弟我,連忙拿出Process ExplorerActive PortsWireShark來監控,想當然爾光靠Process Explorer是找不出東西,但是很明顯在Active Ports有不明的程式在送出網路流量。這支木馬很聰明,只要keyboard和mouse有在使用就不動作,等到停下來時才開始送出封包,所以使用者雖然覺得電腦變慢,卻不會覺得慢到無法忍受。

  此時我只能用IceSword來找出這支木馬,不過由於有千人斬實力的工讀生要先備份資料,所以抓毒的事明日請早。

2 則留言:

阿龍 提到...

你好,想請教一下
在貴站所介紹的監控軟體
是否需要在getway端執行?
或者是與NTOP一樣,可以一直收集資訊的方式來作監控

鳥毅 提到...

阿龍,我是在gateway監控。現在的hub多半是switch hub;若要在switch hub監控整個網路,必須使用具有monitor port的switch。