[求助] 跑FAH的服务器总被黑怎么解决？

mrks

我不是专业人员，以下无责任乱弹。

首先，你的描述没什么参考价值，毕竟要是知道问题在哪里，你也不会到这么一个外行的论坛来问了。

建议你先找个端口扫描工具从外部内部都扫一下，这样才能有个比较准确地印象。比如 nmap。

内部的机器中毒然后蔓延到服务器很正常。

然后找个 sniffer 听一段时间的通信，看看有什么异常情况。GFW 都能直接穿透，IDS 没动静很正常。配置也要对。

最后，用瑞星，晕！

baibaipangpang

我不是专业人员，以下无责任乱弹。

首先，你的描述没什么参考价值，毕竟要是知道问题在哪里，你也不会到这 ...
mrks 发表于 2010-6-12 14:53

      有没有更方便的方法?
      我没有这些服务器接入交换机的控制权，无法做流量镜像。而且我也不能把所有服务器的流量都竞相过来，700Mbits/s 的流流量我也分析不过来啊。
     关于杀毒软件符合要求的只剩下金山和瑞星，比较一下瑞星更靠谱（而且利润高）。
     

     目前打算关闭服务器群10天，然后完全重做服务器的RAID再重做系统，之后再跑FAH。

     感谢FAH让我及时知道服务器被黑。

金鹏

回复 17# baibaipangpang

期待白胖兄弟早日解决问题！

应该感谢兄弟为3213做出的贡献

mrks

有没有更方便的方法?

基本就是这样了。

我没有这些服务器接入交换机的控制权，无法做流量镜像。

IDS 那台机器不是可以吗？实在不行直接在服务器上装 sniffer，可能会稍微影响性能。

而且我也不能把所有服务器的流量都竞相过来，700Mbits/s 的流流量我也分析不过来啊。

这个要看你怎样设置捕获过滤器。不过这事情本来就是这样大海捞针的。无非是熟的话对异常情况敏感点，发现得快点。

关于杀毒软件符合要求的只剩下金山和瑞星，比较一下瑞星更靠谱（而且利润高）。

谈不上那个更靠谱，因为都不靠谱。

感谢FAH让我及时知道服务器被黑。

说老实话，想不通服务器被黑怎么会影响 PPD。难道它在你机器上跑 MD5 破解...能看到是什么程序吃掉了 CPU 吗？

如果有吃 CPU 这个征兆，那到好办了，可以用 VBScript 写个 WMI 脚本，监视住 Windows 的计数器，发现情况就启动 sniffer / email 通知你等等。

baibaipangpang

万分感谢楼上

winstranger

感觉瑞星还是不靠谱。你说的内鬼可能性不大，但是你不能确保内部的电脑就没有中招的。
我不是专业人员，下面只是一个猜测：我大学一个同学曾今通过它所谓的搭跳板的办法窃取了一个公司内部服务器的很多资料。我想他应该是先入侵了一台连外网的内部电脑，然后再控制这台电脑入侵了内部服务器的吧？？？

baibaipangpang

感觉瑞星还是不靠谱。你说的内鬼可能性不大，但是你不能确保内部的电脑就没有中招的。
我不是专业人员，下 ...
winstranger 发表于 2010-6-13 09:02

   

嗯 我的这个网络比较特殊，不是全网用户都可以访问到这些服务器的。