[新人求助]纯局域网被入侵问题（图）

各位老大：

   我是一个局域网的网管，也是一个不懂网络安全的网管，最近我们的局域网总好像有人在攻击，请老大们给分析分析：

服务器：win2000server,sp4,单一域结构，纯内部网，与internet无物理连接。

域控制器ip: 172.16.0.1

www服务器ip：172.16.0.31

腾讯通企业QQ服务器也安装在WWW服务器上，端口为8000

邮件服务器IP:172.16.1.20      使用IMAIL

我的工作机IP：172.16.2.146，安装了瑞星防火墙2004，安全设置级别为中级。

我的瑞星防火墙经常会出现如图所示的报警，请各位老大帮我分析一下现在我的网络出了什么问题，还会出现哪些问题，当然，除了图中显示的木马之外，还截获过好像叫AIMSPY等不知道是什么东西。

各位老大、高手还需要哪些线索或截图，我一定全力配合！！！谢谢各位老大、高手！！！

多谢各位老大，我自己再琢磨一下看看，如有心得，我一定写出来供大家参考！！

瑞星防火墙设置起来相对比较复杂．．不适合个人使用．（个人意见．）
我看了一下．．
好像是自己的IP在回应内网的一个IP
仅供参考．　把自己电脑杀毒和对方电脑杀毒．．看看能解决麽

恩@~好的 我去下载个用用.
我现在把诺顿撤了!诺顿据最新的统计结果显示,其杀毒和清毒能力排在瑞星金山的后面~~!而且,这个软件是一遇到到可疑文件就删~~!也不管是什么东西!!
我现在正在安装KV2005 还是老牌子江民好用!!大家都说好!!!
ps:wangllong,你的问题解决了吗??我原是建站资源/网页设计版版主.由于黑海调整所
   以分到秘书处去啦!我不能解答你什么问题,因为我是对平面设计之类的问题做解答
   不管怎么样,我想,老大和其他的相应版主会帮你处理好的!希望你的问题得到圆满
   解决!也感谢您一如既往的支持海岸线!黑色海岸线,美丽风景线! :)

趋势防火墙测试版可以在趋势的官方站点下载
www.trendmicro.com 中文地址你自己搜索
趋势是第一大反病毒集团

自己顶

[这个贴子最后由wangllong在 2004/10/27 11:37pm 第 7 次编辑]

首先!谨此向[黑色海岸线]表示最诚挚的感谢！！！！！！
向各位回答和关注我这个小贴子的老大们表示感谢！！！！
这个问题我在[黑客x档案]和[黑色基地]很早就提出来了，但迄今为止，这两个论坛的老大们都很忙，只有一些头衔是新手的兄弟简单的探讨了几下（除了黑客x档案的喝酒的鱼兄告诉我可能有木马，要杀毒），我还不是很清楚，当然我很明白我绝没有任何资格和权利获得答案，我有的，仅仅是希望，后来，我辗转于各大安全论坛，但一直没有什么收获（不管什么，有回复就是收获），直到我发现了[黑色海岸线]！！！
没有什么比这个更令人激动了！没有什么比这个更令人依恋这里了！！！请看：
5  个回复中竟然有 坛主：黑色海岸线  分类区斑竹：飞鸟设计  论坛斑竹：☆一往情深☆ 和 壁虎  4  位顶级老大！！！ 当然，也要真诚感谢那位热心的朋友：    wrh55555 ！！
我也当过一些论坛的斑竹、甚至坛主，所以我十分明白在浩如烟海的帖子里（尤其是提问题的帖子里）寻找和回复是怎样的工作量和怎样的责任感！！！

所以我——————————————感谢！！！！
1、与 壁虎 的探讨：
在此过程中，QQ通讯一切正常，说明并没有阻止8000端口的通讯，我不知道他阻止了什么，其他截图我会尽快拿来的。
2、与 坛主   的探讨：
我在域控制器、WWW服务器、我的工作机上均安装了正版瑞星2004的10月病毒库扫描未果，同时安装了木马克星5.46（在http://www.piaodown.com/down/soft/46.htm下载的破解版）扫描未果，另外，我在域控制器、WWW服务器上安装瑞星个人防火墙的话，又害怕影响正常的使用，因为我不清楚对于服务器该怎么配置防火墙，毕竟这只是个人防火墙。您的趋势试用版我如何拿到，可以给我地址吗？发邮件的话给这里：wangllong@yeah.net
还有，从图上来看，防火墙是装在172.16.2.146上的，但它拦截的是从172.16.0.31到172.16.0.20（比如那个NETrojan），这是什么道理？
3、与 ☆一往情深☆  的探讨：如果要判断那些是正常的话，首先必须熟悉进程，但是一来我的熟悉程度不够，二来我知道现在很多木马都绑定了正常的进程，可能无法从表面上直接看出来。

应该不是受攻击，有时防火墙把一些代码当作病毒。

有时不一定是病毒，他有时也屏蔽掉没有经他允许的程序，但是你最好看看都什么程序，是不是正常的，在放行！

呵呵~  趋势这么厉害呀~  HOHO，也给我个试用版撒~~ 老大

被拦截的是病毒和木马，你最好杀毒吧，如果杀毒软件杀不了，可以在我这里拿趋势试用版

你说的攻击是指什么呢？
攻击服务器还是攻击分机，我看这个报告没什么问题，之所以有警报是因为瑞星防火墙把QQ腾讯通企业QQ服务器看成了木马在对待，所以阻止了任何相关通讯。
如果我分析有错（我不保证正确），请你把任何你认为有疑点的地方都截图来看，自然会有合理解释。