大量的9595端口连接?

leeqs

UID: 25786
帖子: 42
积分: 96
在线时间: 2 小时

1^# leeqs 发表于 2008-06-03 10:56

大量的9595端口连接?

我们单位 sun 880 上运行着apache+php+mysql，跑着几个网站，早来来看到有大量的
从服务器往外连接，使用 netstat -n 查看,如下（****是服务器的IP）
Local Address       Remote Address Swind Send-Q Rwind Recv-Q  State
-------------------- -------------------- ----- ------ ----- ------ -------
****.37964          213.173.80.7.6667    7504    0 49640    0 CLOSE_WAIT
****.37966       213.173.80.7.6667    7504    0 49640    0 CLOSE_WAIT
****.37971       213.173.80.7.6667    7504    0 42296    0 CLOSE_WAIT
****.37977       213.173.80.7.6667    7504    0 42564    0 CLOSE_WAIT
****.37979       208.98.47.46.9595    4096    0 49640    0 ESTABLISHED
****.37981       213.173.80.7.6667    7504    0 39549    0 CLOSE_WAIT
****.37983       213.173.80.7.6667
-- -- ---
查了一下，6667好像是被RPC蠕虫感染的服务器会打开的端口，9595是网页代理的端口，
我们的服务器为什么会连接这些服务器的6667，9595端口，是中毒了，被感染了！,用什么
命令把这些连接断开，请各们兄弟出个主意，谢谢了！

7717060

UID: 28176
帖子: 16
积分: 36
在线时间: 10 分钟

2^# 7717060 发表于 2008-06-03 12:15

防火墙来控制一下吧

leeqs

UID: 25786
帖子: 42
积分: 96
在线时间: 2 小时

3^# leeqs 发表于 2008-06-03 18:55

单位里的防火墙还在采购中，目前是在路由器上做了些控制，奇怪的是由服务器连接到其他计算机上6667端口的连接都断了，但是连接到其他计算机上9595端口的连接依然还在。