今天一早上班網路就不正常,監控系統已向我發了2000多封網路故障郵件,估計昨晚就出問題了;初步確定是辦公室5M城域網故障,ping內部網關也出現丟包現象;區域網內部網路正常,用PRTG查看流量發現並不大,才達到2M;
為何會丟包呢?讓我一下子很難弄明白;1.流量不大肯定不是下載導致 2.ping網關也會出現丟包和中斷,讓我考慮到可能是arp攻擊導致,但arp防火牆並沒發現攻擊包,並且現象與arp攻擊有些區別;
做過簡單的排除后並沒找出原因,然後使用sniffer去抓包,發現有台Linux機器不斷的向公網的很多ip發包,包很小而且只發包沒收包,立即去拔了此Linux機器的網線;網路馬上就恢復正常了,整個網路故障處理只用了10分鐘;
sniffer抓包圖
為了進一步的搞清楚此Linux對外攻擊是怎樣產生的,本機登入系統(明顯感覺登入系統很慢),使用
top命令查看發現有個pscan2的進程佔用cpu 96%,如圖
top圖
使用find命令查看 pscan2文件
# find / -name pscan2
根據路徑發現在/home/William目錄下找到pscan2的相應文件夾及相關程序文件如下圖:
蠕蟲病毒pscan2相關文件圖
此病毒程序是用C寫的,具體實現的功能是,掃描公網內所有ip地址的22埠,並試圖用密碼字典破解公網內的Linux機器的帳號密碼,如果獲取到帳號密碼從而將此蠕蟲病毒程序導入此機器,這時此機器就變為了別人的「肉雞」,為他人所控制;
具體為何會影響到我們辦公室網路呢,
此蠕蟲病毒對外掃描速度是非常快的,嚴重佔用你防火牆的會話數,一直攻擊你的網關,使防火牆癱瘓,從而網路出現中斷;
[火星人
]
Linux中蠕蟲病毒,導致辦公室網路中斷 已經有925次圍觀
http://coctec.com/docs/linux/show-post-53747.html
