amp@java

有一臺WIN2003的服務(wù)器，在單位的局域網(wǎng)內(nèi)，與互聯(lián)網(wǎng)是物理隔離的，最近上面運(yùn)行的一個(gè)WEB服務(wù)器經(jīng)常出錯(cuò)，查看日志發(fā)現(xiàn)是因?yàn)閿?shù)據(jù)庫不能連接，因?yàn)橄到y(tǒng)的所有端口都已經(jīng)被占用完。使用netstat -abn查看發(fā)現(xiàn)svchost.exe開啟了大量狀態(tài)為SYN_SENT的連接，目標(biāo)端口都是445，但是連接的IP各種各樣的都有，由于機(jī)器不能建立Internet連接，所以狀態(tài)都是SYN_SENT，重啟一下這些連接都沒有了，但是過一會又會迅速建立起來，很快就把系統(tǒng)的所有端口都占用了。
根據(jù)端口找出哪個(gè)服務(wù)真不容易，通過netstat -abn只能查到是svchost.exe，最多還能得到一個(gè)PID，確定是哪個(gè)svchost.exe，然后通過tasklist /svc可以查到那個(gè)svchost對應(yīng)了哪些服務(wù)，但是一看，很多服務(wù)都是使用那個(gè)svchost，包括Server,Workstation等等，根本不知道是哪個(gè)產(chǎn)生的連接。
找了半天發(fā)現(xiàn)有人和我一樣：http://www.petri.co.il/forums/showthread.php?t=36427，討論了半天最后也找到了解決方法：http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99，原來是W32.Downadup這個(gè)病毒惹的禍，下載了專殺工具回來查了一下，果然找到了兩個(gè)被感染的文件，一個(gè)是jpg文件，在IE的緩存里，一個(gè)是dll文件，在system32里。
根據(jù)dll文件名在注冊表里查到了它注冊的服務(wù)，原來又是之前處理過的那種，服務(wù)名隨機(jī)、服務(wù)描述為空、啟動類型為自動、狀態(tài)為未啟動、dll名隨機(jī)，但是我記得這臺服務(wù)器已經(jīng)打過補(bǔ)丁，也沒有出現(xiàn)svchost錯(cuò)誤，所以就忽略了服務(wù)的檢查，沒想到這種東西還有不同的癥狀。
這個(gè)病毒利用的是KB958644的漏洞，到微軟下載了補(bǔ)丁回來，一看才發(fā)現(xiàn)原來那臺服務(wù)器以前已經(jīng)裝過這個(gè)補(bǔ)丁。補(bǔ)丁的作用也許就是只能防止再出問題，但不能解決已有的問題，所以那臺服務(wù)器雖然裝了補(bǔ)丁，但是可能已經(jīng)被感染了，于是就沒治好。