微点交流论坛

标题: 不明IP地址连出，微点没报警，请专家帮忙查看 [打印本页]

作者: cnlinya 时间: 2007-12-21 09:17 标题: 不明IP地址连出，微点没报警，请专家帮忙查看

昨天看了《用微点，手工查杀了一个木马》（地址如下：http://bbs.micropoint.com.cn/showthread.asp?tid=977），于是回家也尝试了一下，别说，还真发现了点问题，症状如下：

开机后什么都不操作，只等待系统完全启动完毕，用微点查看网络活动，有如下两个进程连接了远程地址

进程名             本地端口          远程IP             远程端口
SYSTEM             137          192.168.1.255       137
svchost.exe       1077          202.96.64.68          53

说明：
1.我在家使用路由器上网，而且目前家中只有一台电脑连接到了路由器，本机IP是192.168.1.100，路由器的地址是192.168.1.1。
2.开机运行的软件只有微点和赛门铁克10.1
3.202.96.64.68这个IP地址显示为锦州，而我是在大连
4.微点扫描没有任何不良信息
5.赛门铁克扫描，也没有任何不良信息

我想知道这是不是木马引发的？因为电脑中装有股票交易软件，还有魔兽世界。怕帐号被盗啊。

请各位专家帮忙诊断，非常感谢

刚才baidu了一下202.96.64.68，结果告诉我这个IP是大连的，而微点却报告为锦州，不知道该相信谁了

[ Last edited by cnlinya on 2007-12-21 at 09:38 ]

作者: cnlinya 时间: 2007-12-21 09:35
补充：
137端口

137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。

要是非法入侵者知道目标主机的IP地址，并向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。此外非法入侵者还能知道目标主机是否是作为文件服务器或主域控制器来使用。

138端口

137、138端口都属于UDP端口，它们在局域网中相互传输文件信息时，就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。

非法入侵者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称，其对应的IP地址也就能轻松获得。如此一来，就为黑客进一步攻击系统带来了便利。

[ Last edited by cnlinya on 2007-12-21 at 09:38 ]

作者: cnlinya 时间: 2007-12-21 09:54
进程名本地端口远程IP 远程端口
SYSTEM 137 192.168.1.255 137

这个好像是正常的，我在公司中的电脑也会有此进程，不仅打开了137端口，而且打开了138，连接的也是本IP段的255地址。

这只是我的臆断，还请专家帮忙确认

作者: Legend 时间: 2007-12-21 09:55
楼主您的情况是正常，您远程显示的ip地址也是正常的，ip地址的地点显示问题我们正在核查，谢谢您的反馈

作者: cnlinya 时间: 2007-12-21 10:04

Quote:

Originally posted by Legend at 2007-12-21 09:55:
楼主您的情况是正常，您远程显示的ip地址也是正常的，ip地址的地点显示问题我们正在核查，谢谢您的反馈

svchost.exe 1077 202.96.64.68 53

这个IP难道是大连网通的IP？

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn