昨天上午到某局,他们那里有几台机器不断的向外发包,应该是某个蠕虫干的,在一台机器上安装的Sniffer Pro显示发的是MSRPC_CL包,所以怀疑它是利用Windows系统漏洞的蠕虫,但是看进程都是正常的,没看到一个异常,或隐藏进程。
后来另外一个同事过来,也是没看到异常进程,于是他用反线和那机器连接用EtherPeek抓包,看到发的UDP包目的端口都是1434,确定是SQL的蠕虫,重启,安装SQL Server 2000 SP4,OK!顺便把几个Windows 2000的重要补丁也打上:)
那一天正在骑车 接完电话也没有听说过这么个东西~~~ 还自责自己对业界信息台不敏感了。