跳到主要內容

木馬,你實在太強了

  今天早上覺得網路比較慢,連到 pfSense防火牆用bandwidthddarkstat看流量,發現某台電腦的上傳流量高得驚人(是的,敝公司很窮也很省,所以沒有可以monitor網路的switch),占了全公司上傳流量的90%。

  用XP的nbtstat -A [ip],找出是公司的工讀生用的電腦,此時在下敝人小弟我,連忙拿出Process ExplorerActive PortsWireShark來監控,想當然爾光靠Process Explorer是找不出東西,但是很明顯在Active Ports有不明的程式在送出網路流量。這支木馬很聰明,只要keyboard和mouse有在使用就不動作,等到停下來時才開始送出封包,所以使用者雖然覺得電腦變慢,卻不會覺得慢到無法忍受。

  此時我只能用IceSword來找出這支木馬,不過由於有千人斬實力的工讀生要先備份資料,所以抓毒的事明日請早。

留言

阿龍寫道…
你好,想請教一下
在貴站所介紹的監控軟體
是否需要在getway端執行?
或者是與NTOP一樣,可以一直收集資訊的方式來作監控
鳥毅寫道…
阿龍,我是在gateway監控。現在的hub多半是switch hub;若要在switch hub監控整個網路,必須使用具有monitor port的switch。

這個網誌中的熱門文章

自然人憑證讀卡機驅動程式

鳥毅用的是第一代的自然人憑證讀卡機,EZ100PU(後來有同事買EZmini可以讀SIM卡似乎更好),每年報稅時用一次。

本來只是要申請些政府業務,一時之間找不到光碟,沒想到在驅動程式下載居然看到Linux和Mac的驅動程式,剩下的就是政府單位的網頁和程式應該改版了吧!!!

在Windows Server設定L2TP over IPSec VPN

簡單地說,macOS Sierra與iOS 10發表後,大家忽然發現Apple不再支援PPTP,所以一定得設定其他的VPN型態。若不要另外裝client,用L2TP是最方便的,SSL VPN雖然好,但若沒有安裝Agent要連線到任一電腦或是非網頁服務還是挺麻煩的。