[新人求助]纯局域网被入侵问题（图）

各位老大：

   我是一个局域网的网管，也是一个不懂网络安全的网管，最近我们的局域网总好像有人在攻击，请老大们给分析分析：

服务器：win2000server,sp4,单一域结构，纯内部网，与internet无物理连接。

域控制器ip: 172.16.0.1

www服务器ip：172.16.0.31

腾讯通企业QQ服务器也安装在WWW服务器上，端口为8000

邮件服务器IP:172.16.1.20      使用IMAIL

我的工作机IP：172.16.2.146，安装了瑞星防火墙2004，安全设置级别为中级。

我的瑞星防火墙经常会出现如图所示的报警，请各位老大帮我分析一下现在我的网络出了什么问题，还会出现哪些问题，当然，除了图中显示的木马之外，还截获过好像叫AIMSPY等不知道是什么东西。

各位老大、高手还需要哪些线索或截图，我一定全力配合！！！谢谢各位老大、高手！！！

[这个贴子最后由wangllong在 2004/10/27 11:37pm 第 7 次编辑]

首先!谨此向[黑色海岸线]表示最诚挚的感谢！！！！！！
向各位回答和关注我这个小贴子的老大们表示感谢！！！！
这个问题我在[黑客x档案]和[黑色基地]很早就提出来了，但迄今为止，这两个论坛的老大们都很忙，只有一些头衔是新手的兄弟简单的探讨了几下（除了黑客x档案的喝酒的鱼兄告诉我可能有木马，要杀毒），我还不是很清楚，当然我很明白我绝没有任何资格和权利获得答案，我有的，仅仅是希望，后来，我辗转于各大安全论坛，但一直没有什么收获（不管什么，有回复就是收获），直到我发现了[黑色海岸线]！！！
没有什么比这个更令人激动了！没有什么比这个更令人依恋这里了！！！请看：
5  个回复中竟然有 坛主：黑色海岸线  分类区斑竹：飞鸟设计  论坛斑竹：☆一往情深☆ 和 壁虎  4  位顶级老大！！！ 当然，也要真诚感谢那位热心的朋友：    wrh55555 ！！
我也当过一些论坛的斑竹、甚至坛主，所以我十分明白在浩如烟海的帖子里（尤其是提问题的帖子里）寻找和回复是怎样的工作量和怎样的责任感！！！

所以我——————————————感谢！！！！
1、与 壁虎 的探讨：
在此过程中，QQ通讯一切正常，说明并没有阻止8000端口的通讯，我不知道他阻止了什么，其他截图我会尽快拿来的。
2、与 坛主   的探讨：
我在域控制器、WWW服务器、我的工作机上均安装了正版瑞星2004的10月病毒库扫描未果，同时安装了木马克星5.46（在http://www.piaodown.com/down/soft/46.htm下载的破解版）扫描未果，另外，我在域控制器、WWW服务器上安装瑞星个人防火墙的话，又害怕影响正常的使用，因为我不清楚对于服务器该怎么配置防火墙，毕竟这只是个人防火墙。您的趋势试用版我如何拿到，可以给我地址吗？发邮件的话给这里：wangllong@yeah.net
还有，从图上来看，防火墙是装在172.16.2.146上的，但它拦截的是从172.16.0.31到172.16.0.20（比如那个NETrojan），这是什么道理？
3、与 ☆一往情深☆  的探讨：如果要判断那些是正常的话，首先必须熟悉进程，但是一来我的熟悉程度不够，二来我知道现在很多木马都绑定了正常的进程，可能无法从表面上直接看出来。

自己顶

多谢各位老大，我自己再琢磨一下看看，如有心得，我一定写出来供大家参考！！