今天早上覺得網路比較慢,連到 pfSense防火牆用bandwidthd和darkstat看流量,發現某台電腦的上傳流量高得驚人(是的,敝公司很窮也很省,所以沒有可以monitor網路的switch),占了全公司上傳流量的90%。
用XP的nbtstat -A [ip],找出是公司的工讀生用的電腦,此時在下敝人小弟我,連忙拿出Process Explorer和Active Ports、WireShark來監控,想當然爾光靠Process Explorer是找不出東西,但是很明顯在Active Ports有不明的程式在送出網路流量。這支木馬很聰明,只要keyboard和mouse有在使用就不動作,等到停下來時才開始送出封包,所以使用者雖然覺得電腦變慢,卻不會覺得慢到無法忍受。
此時我只能用IceSword來找出這支木馬,不過由於有千人斬實力的工讀生要先備份資料,所以抓毒的事明日請早。
用XP的nbtstat -A [ip],找出是公司的工讀生用的電腦,此時在下敝人小弟我,連忙拿出Process Explorer和Active Ports、WireShark來監控,想當然爾光靠Process Explorer是找不出東西,但是很明顯在Active Ports有不明的程式在送出網路流量。這支木馬很聰明,只要keyboard和mouse有在使用就不動作,等到停下來時才開始送出封包,所以使用者雖然覺得電腦變慢,卻不會覺得慢到無法忍受。
此時我只能用IceSword來找出這支木馬,不過由於有千人斬實力的工讀生要先備份資料,所以抓毒的事明日請早。
留言
在貴站所介紹的監控軟體
是否需要在getway端執行?
或者是與NTOP一樣,可以一直收集資訊的方式來作監控