仁者见仁，智者见智~ bbs.ikaka.com

小顾 - 2011-2-17 9:26:00

一台经常用的电脑，最近发现安全疑点。
早上起床，然后就在Windows运行下面CMD，然后在命令行Netstat -ano >d:\1.txt 获得一个文本文件，具体内容如下：

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1052
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING 160
TCP 0.0.0.0:8442 0.0.0.0:0 LISTENING 160
TCP 0.0.0.0:8443 0.0.0.0:0 LISTENING 160
TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING 1220
TCP 127.0.0.1:1026 127.0.0.1:32000 ESTABLISHED 160
TCP 127.0.0.1:1044 127.0.0.1:5152 FIN_WAIT_2 3084
TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 120
TCP 127.0.0.1:5152 127.0.0.1:1044 CLOSE_WAIT 120
TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING 160
TCP 127.0.0.1:32000 0.0.0.0:0 LISTENING 2012
TCP 127.0.0.1:32000 127.0.0.1:1026 ESTABLISHED 2012
TCP 192.168.1.243:139 0.0.0.0:0 LISTENING 4
TCP 192.168.1.243:1038 222.69.93.105:80 CLOSE_WAIT 160
TCP 192.168.1.243:1039 222.69.93.105:80 CLOSE_WAIT 160
TCP 192.168.1.243:1040 192.168.1.245:139 TIME_WAIT 0
TCP 192.168.1.243:1054 60.186.134.120:8090 TIME_WAIT 0
TCP 192.168.1.243:1061 114.89.161.27:8090 TIME_WAIT 0
TCP 192.168.1.243:1066 114.82.74.194:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1067 114.95.53.93:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1068 61.170.209.139:8090 SYN_SENT 1220
TCP 192.168.1.243:1069 114.91.202.98:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1070 218.82.153.6:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1072 59.54.100.240:8090 TIME_WAIT 0
TCP 192.168.1.243:1076 120.34.72.110:8090 TIME_WAIT 0
TCP 192.168.1.243:1077 122.232.165.65:8090 TIME_WAIT 0
TCP 192.168.1.243:1079 180.152.25.103:8090 TIME_WAIT 0
TCP 192.168.1.243:1082 59.174.107.11:8090 TIME_WAIT 0
TCP 192.168.1.243:1085 60.180.104.97:8090 TIME_WAIT 0
TCP 192.168.1.243:1087 123.170.207.91:8090 TIME_WAIT 0
TCP 192.168.1.243:1088 125.107.77.171:8090 TIME_WAIT 0
TCP 192.168.1.243:1090 27.188.18.134:8090 TIME_WAIT 0
TCP 192.168.1.243:1092 222.70.166.6:8090 TIME_WAIT 0
TCP 192.168.1.243:1093 114.89.84.102:8090 TIME_WAIT 0
TCP 192.168.1.243:1095 222.72.107.75:8090 SYN_SENT 1220
TCP 192.168.1.243:1097 222.214.129.68:8090 TIME_WAIT 0
TCP 192.168.1.243:1098 113.71.215.53:8090 TIME_WAIT 0
TCP 192.168.1.243:1102 222.65.51.218:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1103 58.41.32.36:8090 SYN_SENT 1220
TCP 192.168.1.243:1104 116.235.162.242:8090 FIN_WAIT_2 1220
TCP 192.168.1.243:1110 60.166.162.118:8090 SYN_SENT 1220
TCP 192.168.1.243:1113 222.89.35.110:8090 ESTABLISHED 1220
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1028 *:* 1532
UDP 0.0.0.0:1043 *:* 3084
UDP 0.0.0.0:3600 *:* 1532
UDP 0.0.0.0:3601 *:* 1220
UDP 0.0.0.0:9200 *:* 1220
UDP 0.0.0.0:10243 *:* 1220
UDP 0.0.0.0:18050 *:* 160
UDP 127.0.0.1:123 *:* 1196
UDP 127.0.0.1:1025 *:* 1532
UDP 127.0.0.1:1047 *:* 3084
UDP 127.0.0.1:1900 *:* 2092
UDP 192.168.1.243:123 *:* 1196
UDP 192.168.1.243:137 *:* 4
UDP 192.168.1.243:138 *:* 4
UDP 192.168.1.243:1900 *:* 2092

能者上~
需要得到的结果是：
1..这种系统，对老手是否可以裸机使用是否存在重大的危险(如果有，请提出方案)
2.需要做哪些方面的防范
3.是否存在重大的危险(如果有，请提出方案)

个人目标是裸机
~

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; znwb6600; .NET CLR 1.1.4322)

小顾 - 2011-2-17 9:32:00

简单搜索了一下，SYN_SENT 太多，有重大隐患。
什么波之类的。

帅哥阿福 - 2011-2-17 9:38:00

SYN_SENT 太多了，才会有隐患，要访问其它PC的服务时，需要发送同步信号给该对方端口，则此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED。
当机器感染震荡波或者冲击波等病毒时，会通过广播方式向广播域中发此信号。
要想裸奔，还提高安全性，只能靠打系统补丁，关闭常用端口，停止不常用的服务来实现。

networkedition - 2011-2-17 9:39:00

任务管理里查看PID:1220对应的是哪个进程:kaka2:

小顾 - 2011-2-17 9:50:00

接三楼话，马上在windows运行下CMD,
然后在命令行下tasklist /svc >d:\2.txt
2.txt的内容不多：

图像名 PID 服务
========================= ====== =============================================
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 604 暂缺
csrss.exe 672 暂缺
winlogon.exe 712 暂缺
services.exe 756 Eventlog, PlugPlay
lsass.exe 768 ProtectedStorage, SamSs
svchost.exe 944 DcomLaunch, TermService
svchost.exe 1052 RpcSs
svchost.exe 1196 AudioSrv, CryptSvc, Dhcp, EventSystem,
FastUserSwitchingCompatibility,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, SENS, TapiSrv, W32Time, winmgmt,
WZCSVC
explorer.exe 1348 暂缺
svchost.exe 1352 Dnscache
ZhuDongFangYu.exe 1416 ZhuDongFangYu
360tray.exe 1532 暂缺
sfzScanOcr.exe 1544 暂缺
ctfmon.exe 1600 暂缺
spoolsv.exe 1684 Spooler
wrapper.exe 2012 DFWD Server
jqs.exe 120 JavaQuickStarterService
java.exe 160 暂缺
svchost.exe 156 stisvc
svchost.exe 2092 SSDPSRV
XOCR32B.exe 2392 暂缺
EnCashier_0.exe 496 暂缺
QQ.exe 3760 暂缺
TXPlatform.exe 3932 暂缺
IEXPLORE.EXE 568 暂缺
Duba_Sdbot.EXE 3340 暂缺
taskmgr.exe 2828 暂缺
cmd.exe 3716 暂缺
wmiprvse.exe 2160 暂缺
tasklist.exe 1144 暂缺

天月来了 - 2011-2-17 9:58:00

扫描SRENG日志来看

估计那1220的进程也仅是个自己使用的正常软件而已

小顾 - 2011-2-17 9:59:00

Duba_Sdbot.EXE 报告出来：

小顾 - 2011-2-17 10:10:00

再上SREngLdr.EXE工具检测的结果：

Gothack - 2011-2-17 12:03:00

以前裸奔过一段时间，个人感觉裸机的话，主要把常见的危险系数高的端口关了，然后流行的漏洞经常补点，然后就看平常对系统的敏感程度了:kaka6: 俺是打酱油的，非仁者也非智者。。。

天月来了 - 2011-2-17 17:58:00

抓那SRENG界面图干什么呢？？？

要的是SRENG扫描后的日志:kaka6:

StreetMilk - 2011-2-17 19:48:00

1.这种系统，对老手是否可以裸机使用是否存在重大的危险(如果有，请提出方案)
答：
WINDOWS的系统，对于老手完全可以裸奔。但要把一些非常危险的东东关了先。
比如：关默认共享，禁用来宾账户，把TTL改了，或者干脆对方禁止PING，······（此处略去N个字符），最好再装个IPSEC防火墙（微软的，应该不算穿内裤吧）把该关的端口都关了，只开几个端口就好。（中间省略的原因，我觉得老手应该非常清楚，一时也说不完）。
重大的危险，我觉得是楼主裸奔上网看网页吧，网马就这样灰常淡定，毫无鸭梨地进入到楼主的系统。网马对楼主系统的危害，我觉得老手应该很清楚了。中了网马，肯定也带有不少病毒，老手可以使用SRENG扫描日志，查看可疑之处，手工杀毒。

2.需要做哪些方面的防范
答：
该补得系统漏洞要及时补，不管是系统漏洞还是第三方软件漏洞。除此之外，就是浏览网页中木马的事了。楼主可以用FIREFOX或CHROME之类的非IE内核的浏览器。还有上网习惯，少浏览那些什么草X社区之类的，还有近来非常HOT的“中关村XX门”。

3.是否存在重大的危险(如果有，请提出方案)
答：
如果你系统里没有重要的东东，所有漏洞补上了，远程直接从攻击也攻击不了，到觉得没啥重大的危险。即使中病毒或木马，你也没啥损失。最多花那么一晚的时间来手工杀毒。- -

至于楼主裸奔的想法建议还是先开个虚拟机玩玩算了，看你有没有这个时间手工杀毒······再觉得是不是要真的拿宿主主机裸奔。
——————————————————————————————————
纯属路过打酱油的······

小顾 - 2011-2-18 12:17:00

有看就是了，情况属实。
裸奔就裸奔。

瑞星卡卡安全论坛