设为首页收藏本站
开启辅助访问 切换到窄版
搜索
第一问答网»论坛 中问网 问答 是不是被人入侵了?

是不是被人入侵了?

[复制链接]
查看11 | 回复0 | 2009-1-30 06:28:38 | 显示全部楼层 |阅读模式
今天我在打游戏的时候突然听到类似于广告的声音,就是那种广告语歌的(此时我只开了一个浩方对战平台和一个魔兽争霸游戏)我把电脑重起后发现没有了,我就继续玩,不过一会我的杀毒软件弹出(我用的是诺顿企业版)出现自动检测被关闭!我马上重起后GHOST了一下电脑,重新安装了诺顿企业版和一个天网防火墙。在不到5分钟后出现了一段像是屋子里的声音,有一点点的嘈杂。不过只出现了几秒就消失了,而我的天网的日记出现17:41:40] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: Remote Grab[7000] ,
对方端口: Remote Grab[7000]
该包被拦截。[17:41:48] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: Remote Grab[7000] ,
对方端口: Remote Grab[7000]
该包被拦截。[18:25:16] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: Remote Grab[7000] ,
对方端口: Remote Grab[7000]
该包被拦截。[18:25:16] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: Remote Grab[7000] ,
对方端口: Remote Grab[7000]
该包被拦截。[18:25:22] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: Remote Grab[7000] ,
对方端口: Remote Grab[7000]
该包被拦截。[18:52:57] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[18:53:21] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[18:55:24] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[18:56:40] 接收到 192.168.0.2 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。请问是怎么回事?我该怎么办?

                                                                                                你上面所说的那些[17:41:48] 接收到 192.168.0.2 的 UDP 数据包,本机端口: Remote Grab[7000] ,对方端口: Remote Grab[7000] 该包被拦截。是局域网内有人使用侦测软件发出的数据包,也可能是用了某些带有此功能的软件,在WIN系统下的局域网内本身就有这样的功能,所以第一个并不用担心。至于第二个[00:56:58] 接收到 218.61.36.196 的 UDP 数据包,本机端口: 3463 ,对方端口: 1510 该包被拦截。这个我就是真的被攻击了……这是一个会重复发动数据包的工具,有点像DDOS(分裂式拒绝服务)的性质,不过看样子你已经成功的给拦截下来了,所以你并不用怕他了,天网是个好东西,我也一直用,如果你是被别人盯住了的吧,你就一直把天网开着吧,最怕由于台湾的地震把外部光缆弄坏了,所以有的杀毒软件都不能更新了,小心点吧!                                       
提问者对答案的评价:

                                                                                                关于天网检测到的7777端口UDP数据包与PPlive使用的关系2006-05-18 01:46:24大中小 每天电脑的天网防火墙都要记录N多关于接到7777端口UDP数据包的报告,虽说好像不影响电脑的使用,可本人一直很是纳闷,到底是什么回事呢?于是就baidu和google了一下,总算是基本上弄明白了怎么回事,原来都是PPlive搞的怪。在BitUnion上和BitFx上好像看到有人讨论过,看到大家好像没讨论出什么结果,所以就把我看到的文字总结了一下,希望还在纳闷的同学看后不再纳闷,还有,如果这就是最近网络变慢的原因的话,希望相关人士能够找到解决的办法,是禁用PPlive呢还是等等之类的对策。首先进行一下7777端口UDP数据包产生源头可能性分析,有几个可能:1、源IP地址机器正在试图通过7777端口连接Tini木马;2、当有新机器连入局域网后会通过UDP7777端口枚举网内计算机,这和Computer Browser服务有关;3、有人在用PPLive看电视,PPLive会每10S以7777为源端口与目的端口向同网段的用户广播UDP数据包。4、其它原因。求解及验证:1、把7777端口的UDP数据包联想到Tini木马上去,实际是对TCP与UDP端口的混淆不清。因为与Tini木马对应的telnet程序用的是TCP7777端口,而不是UDP7777端口。如此排除了有黑客尝试用7777端口连接Tini木马的可能性。以下是我在实验室另外一台电脑尝试用telnet连接我的电脑的7777端口时我的电脑天网log:引用: [22:23:56] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。[22:23:59] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。[22:24:05] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。PS:远程登录程序tini.exe介绍:tini是一款在同类软件中非常优秀的后门程序,说它优秀是由于它的体积只有3K,而且没有木马的特性,只是利用Windows本身的服务。如果你的电脑被安装执行tini之后,tini会监听7777端口,黑客就可以用telnet远程登录连接到你的电脑的7777端口,利用DOS命令控制你的电脑。如果你怕你被安装了tini木马了,你可以用搜索功能找一下tini.exe,如果找到了,Delete就ok了。2、通过查看自己电脑上的天网log文件,发现如果有7777端口的UPD数据包报告,那么同一个源IP大概在9,10,11秒会有一个UDP7777端口的数据包发给我的电脑。如此基本上可以确定是PPlive的PE.exe的原因了。为了进一步验证,我打开同一试验室的另外一台电脑的PPlive程序,此电脑的IP为10.2.26.159,然后回头查看自己电脑上的天网事件,呵呵,有7777端口UDP数据包报告;过去关闭PPlive,回来,呵呵,没有7777端口UDP数据包报告出现了。到此已经可以确定是PPlive产生了7777端口UDP数据包了。以下一段Log:引用: [21:56:18] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:56:28] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:56:38] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:56:48] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:56:58] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:57:08] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:57:18] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:57:28] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:57:38] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。[21:57:48] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。3、关于当有新机器连入局域网后会通过UDP7777端口枚举网内计算机这个问题,本人不太清楚,也不太好做实验,所以放弃了。不过有一点是可以肯定的,Compute Browser服务不会每隔10s枚举一次,据此可以排除这个可能性。4、在确定PPlive的PE.exe的原因之后,并不能确定所有的7777端口UDP数据包都源于此。但如果是每10s一次的数据包,本人认为其他可能性应该不大,没有人会无聊到模拟PE.exe这个动作吧,当然不排除有程序在这个动作上和PE.exe巧合的可能性。探讨:引用: Originally posted by danielwtx at 2006-4-21 02:12 PM:难道是因为网络安全比赛开始了?这层住了好多9系的兄弟...
引用: Originally posted by lawsherman at 2006-4-21 02:30 PM:UDP Flood会将整个网段都弄崩溃的所以我提议把那个人揪出来打一顿...... 这是BitUnion上“7777端口遭到攻击”的回复引用,这也是导致我去弄清整个事情的原因。呵呵,我觉得特别好玩的是lawsherman的回复,其实我想咱们当中应该没有太多人在研究怎么黑别人的电脑这些技术,当我们的电脑受到某一电脑攻击时,多半是源电脑中毒了。废话,突然发现怎么自己说起地球人都知道了的东西了。说点正经的:1、PE.exe这种每10s广播一次是否会导致UDP数据包洪流结果导致网络阻塞,最后导致现在校园网如此之慢,本人就没什么想法了,希望专业学习网络通信的高手进行一下分析,如果结果是yes,那么给学校的网络中心反映反映情况,希望他们能制定出对策,就此让我们的网络不要再么蜗牛。2、如果使用天网的同学烦这个7777端口UDP数据包拦截记录与警告,可以加一条UDP规则:拦截UDP7777端口数据包(发送接收都拦截),但不记录不警告。记得添加后要点击一下保存按钮啊,天网有点傻,不会自动保存规则。PS:用PPlive的同学就不要加这条规则了,好像说加了这条规则,pplive就不能正常使用了。                                       

                                                                                                从IP地址来看!应该不是被攻击了!                                       

                                                                                                请先在我的共享资料中下载“360安全卫士”,用“漏洞扫描”打上补丁。一,在我的共享资料下载ewido anti-spyware 4.0.rar,请升级后在“安全模式”下查杀。二,1,升级超级兔子魔法设置到最新,2,重启电脑按F8到“安全模式”,3,执行“IE修复专家”里面的“一键清除”并且按提示要求卸载某些广告程序然后重启计算机。如没安装超兔请在http://www.pctutu.com/ 下载。                                       

                                                                                                在浩方和别人连网玩网游 连接信息 肯定有 不是入侵                                        

                                                                                                帖主应该首先交代清楚自己的上网环境,你是专用IP还是通过局域网连出去的。                                       

                                                                                                从IP上看这是内网的IP地址向你发送数据包.一般装了天网后能拦截到各类其他内网计算机发送的数据包.着是正常现象. 不是入侵.没事的
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

千问

主题

0

回帖

4882万

积分

论坛元老

Rank: 8Rank: 8

积分
48824836
回复楼主 返回列表
热门排行