該操作被拒絕。
[14:01:20] 10.100.2.101 嘗試用Ping 來(lái)探測(cè)本機(jī),
該操作被拒絕。
特征:多臺(tái)不同IP的計(jì)算機(jī)試圖利用Ping的方式來(lái)探測(cè)本機(jī)。
日志解讀 日志中所列機(jī)器感染了沖擊波類(lèi)病毒。感染了“沖擊波殺手”的機(jī)器會(huì)通過(guò)Ping網(wǎng)內(nèi)其他機(jī)器的方式來(lái)尋找RPC漏洞,一旦發(fā)現(xiàn),即把病毒傳播到這些機(jī)器上。
安裝建議:
天網(wǎng)防火墻最好安裝在普通機(jī)器上,并且IP是不公開(kāi)的。尤其注意不要安裝在服務(wù)器上,因?yàn)榉?wù)器是大家經(jīng)常要訪(fǎng)問(wèn)的,日志中所出現(xiàn)的情況很可能是人為造成的,所以可能會(huì)大大影響我們判斷的準(zhǔn)確性。
網(wǎng)絡(luò)中的蠕蟲(chóng)病毒之所以能夠流行,其特點(diǎn)就是它們會(huì)采用某種方式自動(dòng)在網(wǎng)絡(luò)上探測(cè),尋找傳播途徑,而這一點(diǎn)恰恰會(huì)讓它們安全軟件的“照妖鏡”中暴露無(wú)遺。當(dāng)然,這還需要我們根據(jù)病毒的特點(diǎn)合理配置好安全軟件。
關(guān)于尼姆達(dá)
尼姆達(dá)病毒是一個(gè)新型蠕蟲(chóng)病毒,由JavaScript腳本語(yǔ)言編寫(xiě),通過(guò)E-mail、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播,同時(shí)它也是一個(gè)感染本地文件的新型病毒。病毒體長(zhǎng)度57344字節(jié),它修改在本地驅(qū)動(dòng)器上的HTML和ASP文件。此病毒可以使IE和Outlook Express加載產(chǎn)生Readme.eml文件。該文件將尼姆達(dá)蠕蟲(chóng)作為一個(gè)附件包含,因此,不需要拆開(kāi)或運(yùn)行這個(gè)附件病毒就被執(zhí)行。由于用戶(hù)收到帶毒郵件時(shí)無(wú)法看到附件,這樣給防范帶來(lái)困難,病毒也更具隱蔽性。
關(guān)于沖擊波殺手
沖擊波殺手(Worm.Welchia),該病毒會(huì)試圖上網(wǎng)RPC漏洞補(bǔ)丁并運(yùn)行,并且試圖殺掉用戶(hù)計(jì)算機(jī)中的“沖擊波”病毒,另外,該病毒在2004年后可能會(huì)自動(dòng)將自己從計(jì)算機(jī)中刪除。該病毒雖然目的很好,但由于病毒本身編寫(xiě)得不完善,在傳播的過(guò)程中,會(huì)造成網(wǎng)絡(luò)阻塞。
