有一臺(tái)WIN2003的服務(wù)器,在單位的局域網(wǎng)內(nèi),與互聯(lián)網(wǎng)是物理隔離的,最近上面運(yùn)行的一個(gè)WEB服務(wù)器經(jīng)常出錯(cuò),查看日志發(fā)現(xiàn)是因?yàn)閿?shù)據(jù)庫不能連接,因?yàn)橄到y(tǒng)的所有端口都已經(jīng)被占用完。使用netstat -abn查看發(fā)現(xiàn)svchost.exe開啟了大量狀態(tài)為SYN_SENT的連接,目標(biāo)端口都是445,但是連接的IP各種各樣的都有,由于機(jī)器不能建立Internet連接,所以狀態(tài)都是SYN_SENT,重啟一下這些連接都沒有了,但是過一會(huì)又會(huì)迅速建立起來,很快就把系統(tǒng)的所有端口都占用了。
根據(jù)端口找出哪個(gè)服務(wù)真不容易,通過netstat -abn只能查到是svchost.exe,最多還能得到一個(gè)PID,確定是哪個(gè)svchost.exe,然后通過tasklist /svc可以查到那個(gè)svchost對(duì)應(yīng)了哪些服務(wù),但是一看,很多服務(wù)都是使用那個(gè)svchost,包括Server,Workstation等等,根本不知道是哪個(gè)產(chǎn)生的連接。
找了半天發(fā)現(xiàn)有人和我一樣:
http://www.petri.co.il/forums/showthread.php?t=36427,討論了半天最后也找到了解決方法:
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99,原來是W32.Downadup這個(gè)病毒惹的禍,下載了專殺工具回來查了一下,果然找到了兩個(gè)被感染的文件,一個(gè)是jpg文件,在IE的緩存里,一個(gè)是dll文件,在system32里。
根據(jù)dll文件名在注冊(cè)表里查到了它注冊(cè)的服務(wù),原來又是之前處理過的那種,服務(wù)名隨機(jī)、服務(wù)描述為空、啟動(dòng)類型為自動(dòng)、狀態(tài)為未啟動(dòng)、dll名隨機(jī),但是我記得這臺(tái)服務(wù)器已經(jīng)打過補(bǔ)丁,也沒有出現(xiàn)svchost錯(cuò)誤,所以就忽略了服務(wù)的檢查,沒想到這種東西還有不同的癥狀。
這個(gè)病毒利用的是KB958644的漏洞,到微軟下載了補(bǔ)丁回來,一看才發(fā)現(xiàn)原來那臺(tái)服務(wù)器以前已經(jīng)裝過這個(gè)補(bǔ)丁。補(bǔ)丁的作用也許就是只能防止再出問題,但不能解決已有的問題,所以那臺(tái)服務(wù)器雖然裝了補(bǔ)丁,但是可能已經(jīng)被感染了,于是就沒治好。