找出尼姆达攻击的源头
网络与通信
尼姆达病毒是利用微软的漏洞侵入电脑的,用Windows98附件中的网络监视器也不能看到存在网络连接,市面上也没有防病毒产品能有效防止其侵入,只能在侵入后查杀。要彻底在局域网中消除此毒,关键是要在近百台电脑中找出这台“害群之马”。于是向导了用Windows98自带的“netstat”命令进行实时入侵跟踪,具体步骤如下。
1.找台有病毒防火墙的电脑,新建一空目录,设置共享,权限为完全,口令为空,作为陷阱。
2.建立一个空文本文件,取名为Log.txt。
3.建立a1.bat、a2.bat批处理文件,在DOS窗口下执行:
c:>copy con a1.bat
netstat -a >>log.txt
a2
^Z(注:按“F6”)
c:>copy con a2.bat
netstat -a >>log.txt
a1
^Z
4.执行a1.bat文件,并打开新建的共享目录。这时共享目录可能已有文件了,删除它后,观察该目录直到出现新文件。强行中断正在运行的BAT文件。
5.打开Log.txt日志文件,在其中查找如下新增的连接:
Active Connections
Proto Local Address Foreign Address State
TCP aa:nbsession XXXXX:1628 ESTABLISHED
上面显示的机器名XXXXX应该就是那台肇事的电脑。马上到那台电脑上去检查,果然没有安装任何防病毒产品,打开“system.ini”文件,存在“shell=explorer.exe load.exe -dontrunold”的命令行。够了,就是它,立即进行清除。
当你怀疑遭到别人的网络攻击时,也不妨参照以上方法进行跟踪。