求助!关于高速发送ICMP数据包的问题

[这个贴子最后由tyfcf在 2004/12/14 09:35pm 第 1 次编辑]

机子装的是2000SERVER＋ＳＰ４，关了文件和打印共享． 通过NETSTAT -AN 查看发现机子的6000端口向几个固定的IP的所有端口发送数据包其中有两个IP是我们公司的客户.但公司的应用程序的端口是6000，但不是发送数据的.
先用最新版(17.04)的瑞星杀毒,但查不到.用瑞星的防火墙，发现防火墙的日志里记录机子的０端口向这几个固定ＩＰ的０端口发送ＩＣＭＰ包，而且速度非常快． 　
  　后用在DOS查毒也查不到．
    用木马克星工也不行~~
   
   搞得公司的服务程序响应相当的慢!!!
　　请问下一步应该怎么解决？谢谢！！！！！

如果被入侵了  怎么说也会有日志的
比如：某些时间段日志不完整或者整个都给DEL了
icesword难道帮不上忙?
截图你看下固顶文章拉`~

问过啦,由于是合作公司,那边的人说是不会发送这么多的数据包出去.
我怀疑被入侵的原因呢,是因为机器无故重启两次.

我认为你应该没有被入侵
但你的情况......却又不知......
找到写这个程序的人来问问
比如功能啊什么的,再系统性的分析一下

还是发呀,55555.
飞鸟大哥给点权限,让我发发图上去吧,谢谢

[这个贴子最后由copyday在 2004/12/24 01:14pm 第 1 次编辑]

恩， 发个图上来大家都能看清楚点。
如果要是进'带网络连接的安全模式'再看一下呢`？ :32:

飞鸟大哥,能不能帮我调整一下权限,让我好发图上去,让你帮忙看下也好呀.
KNLSC查不到那里可以下载的.

OK,等下查完再汇报结果!!!

那么就用icesword看一下系统
不用fport、mport了
这个强!  最新版1.06吧
在加个knlsc吧`~多个工具交叉使用有好处的(命令行)

好东西

下面引用由飛鳥在 2004/12/22 06:31pm 发表的内容：
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
...

这些我都做啦,要命的是我们的程序停不得,在SYSTEM32里面并没有新的文件或近期被修改过的文件.在注册表里也看过没有隐藏的用户,启动文件也没有什么.但是有点奇怪的是任务管理器中竟然停不了任何的进程,老是说句柄无效的话.这是怎么一回事?
以上都做啦,但还是没有发现什么,那还有应该检查那些地方.

我也菜也~~
如果你做了上面的工作而没发现什么的话
那么试试下面
检查WINDOWS脚本,看启动的时候有什么跟随
本地策略--审核策略,把一些策略开启,有用的哦
检查用户列表,主要是否被克隆ADMIN
去system32检查一下文件,按时间显示,让那些XXX文件排在前面 特别注意是DLL
进程就自己搞吧,因为DLL是注入方式的,特难缠
要不就停一下你们那个程序,看看情况在说

汗,我是网管!!
发数据的程序是找到啦.但就是我们公司自己写的程序呀.检查系统?是检查启动文件,服务,注册表,和在DOS底下杀毒都做过啦,但没有发现什么.
请问还要检查什么,请指教.
我是菜鸟网管,特向你们求助,帮我提升自己的功力,谢谢

还没解决吗？你们的网管不是随便在一个网吧找来的吧~
如果真被入侵了，入侵者完全可以用自己的后门工具代替
而不会用捆绑这种差劲的技术  因为大多程序捆绑后体积变大
就象fooler说的，我们应该先从系统下手
你要做的就是先断开网络
仔细检查一下系统

别沉,顶