服务器445端口大量占用,出现大量到外部445端口、状态为SYN_SENT的连接的原因和解决方法...

最新推荐文章于 2024-06-14 09:28:46 发布
最新推荐文章于 2024-06-14 09:28:46 发布
阅读量6k 收藏 2
点赞数 1
文章标签: 服务器445端口大量占用

出现大量到外部445端口、状态为SYN_SENT的连接的原因和解决方法

有一台WIN2003的服务器,在单位的局域网内,与互联网是物理隔离的,最近上面运行的一个WEB服务器经常出错,查看日志发现是因为数据库不能连接,因为系统的所有端口都已经被占用完。使用netstat -abn查看发现svchost.exe开启了大量状态为SYN_SENT的连接,目标端口都是445,但是连接的IP各种各样的都有,由于机器不能建立Internet连接,所以状态都是SYN_SENT,重启一下这些连接都没有了,但是过一会又会迅速建立起来,很快就把系统的所有端口都占用了。

根据端口找出哪个服务真不容易,通过netstat -abn只能查到是svchost.exe,最多还能得到一个PID,确定是哪个svchost.exe,然后通过tasklist /svc可以查到那个svchost对应了哪些服务,但是一看,很多服务都是使用那个svchost,包括Server,Workstation等等,根本不知道是哪个产生的连接。

找了半天发现有人和我一样: http://www.petri.co.il/forums/showthread.php?t=36427,讨论了半天最后也找到了解决方法: http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99,原来是W32.Downadup这个病毒惹的祸,下载了专杀工具回来查了一下,果然找到了两个被感染的文件,一个是jpg文件,在IE的缓存里,一个是dll文件,在system32里。

根据dll文件名在注册表里查到了它注册的服务,原来又是之前处理过的那种,服务名随机、服务描述为空、启动类型为自动、状态为未启动、dll名随机,但是我记得这台服务器已经打过补丁,也没有出现svchost错误,所以就忽略了服务的检查,没想到这种东西还有不同的症状。

这个病毒利用的是KB958644的漏洞,到微软下载了补丁回来,一看才发现原来那台服务器以前已经装过这个补丁。补丁的作用也许就是只能防止再出问题,但不能解决已有的问题,所以那台服务器虽然装了补丁,但是可能已经被感染了,于是就没治好。

Yuan Andy
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TCP三次握手和四次挥手(详细+通俗)
偏执狂的博客
09-13 2万+
TCP/IP协议中,TCP的三次握手和四次挥手机制 这个问题必问,你就说是不是吧。看了一些资料和讲解视频,整理下。 上部分是比较详细的讲解,“专业范”, 下部分是比较通俗的讲解,“易懂范”。 面试根据自己情况,想怎么回答这个问题,废话不说了,全文背诵 一.专业范 首先在TCP报文格式中,有六大标志位 : SYN,同步标志位;ACK 确认标志位;PSH 传送标志位; FIN 结束标志位;RST 重置标志位;URG 紧急标志位; 还有seq 序号;ack 确认号 1.三次握手: 1) 第一
应急响应-挖矿木马-典型处置案例
qq_50765147的博客
02-22 1327
根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner挖矿蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。
Windows和Linux系统查看端口和文件占用
最新发布
Python_0011的博客
06-14 607
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
445端口MS08-067溢出拿cmdshell
Ganwcheng的博客
03-28 3341
(仅用来测试,现在也无法使用转载出自:http://www.cnhonkerarmy.com/thread-167512-1-1.html)漏洞详解:             445端口通常在溢出称呼目标主机的监听端口为4444,其对应的PID为2030(随机值)。毫无疑问她应该和某个系统服务相对应,输入tasklist /svc 后发现其对于的进程是svchost.exe。该进程在系统中有多个服...
Linux下大量SYN_SENT连接问题的解决方法
09-15
主要介绍了Linux下大量SYN_SENT连接问题的解决方法,需要的朋友可以参考下
SYN_SENT(请求连接)
xiaoA76的专栏
12-08 1万+
在命令提示符下(运行---cmd),输入 netstat  -na  回车. 出现如图其中 在"state" 中有个 SYN_SENT ,  "SYN_SENT "表示有计算机请求连接你的计算机.如果连接成功, "SYN_SENT"就会变成"ESTABLISHED". 如果在"state"中出现大量的"SYN_SENT ",那么你很有可能中了蠕虫病毒.出现这种情况,应该在命令提示符下,
TCP 之 SYN_SENT状态
热门推荐
icebergliu1234的博客
03-08 5万+
SYN_SENT是TCP连接的发起方第一次发给接受放的时候设置成的状态。 可以通过netstat -ano查看 其中 在"state" 中可能会有 SYN_SENT 如果在"state"中出现大量的"SYN_SENT ",那么你很有可能中了蠕虫病毒.这类病毒为了感染别的计算机,它就要扫描别的计算机,在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多SYN_S...
dllcache.exe请求445端口占用大量端口
11-20 724
一、下载ICESWORD 二、杀死dllcache.exe隐藏进程
windows 为什么会连接网络中445端口_MITRE ATT&CK系列文章之Windows管理共享风险检测...
weixin_39540426的博客
12-04 578
Windows管理共享在横向移动中常被用于勒索软件和加密货币挖矿程序等恶意软件的传播、攻击工具的复制以及在窃取数据后外传到特定主机,也可结合PsExec、CSExec、Impacket wmiexec等工具使用。其中,被广泛利用且影响严重的为基于SMB协议的永恒之蓝漏洞及其衍生出来的永恒之蓝勒索病毒和挖矿程序等。Red Canary的2020威胁检测报告也指出,Windows Admin Shar...
计算机网络课程设计报告-端口扫描器.doc
03-27
- 第一次握手:客户端发送SYN包到服务器,进入SYN_SENT状态。 - 第二次握手:服务器接收SYN包后,回应SYN+ACK包,进入SYN_RECV状态。 - 第三次握手:客户端发送ACK包,确认服务器SYN,此时双方进入ESTABLISHED...
Linux查看某个端口的连接数的方法
09-15
在Linux操作系统中,管理和...总的来说,通过上述方法,我们可以有效地监控Linux系统中特定端口的连接数,及时发现并解决网络问题,保证服务器的稳定运行。同时,理解TCP连接状态的意义也有助于诊断和优化网络性能。
TCP连接信息查看器.e.rar
04-05
通过该工具,用户可以观察到TCP连接的详细状态,包括源IP、目标IP、端口号以及连接状态(如SYN_SENT、ESTABLISHED或CLOSED等)。这对于诊断网络问题、排查服务器性能瓶颈以及确保网络安全都具有重要意义。 TCP...
netstat查看linux服务器网络连接状态.docx
02-07
Netstat 命令的使用可以帮助系统管理员快速了解服务器的网络连接状态,从而及时发现和解决网络问题。例如,使用 Netstat 命令可以查看当前的 TCP 连接状态、UDP 连接状态、路由表信息等。 在实际应用中,Netstat ...
TCP连接信息查看器1.e.rar
04-05
4. **状态转换**:TCP连接有多种状态,如LISTEN(监听)、SYN_SENT(同步发送)、SYN_RECEIVED(同步接收)、ESTABLISHED(已建立)、CLOSE_WAIT(等待关闭)、FIN_WAIT_1和FIN_WAIT_2(等待结束)、TIME_WAIT(时间...
Resin应用出现大量SYN-SENT
weixin_33749131的博客
10-26 633
2019独角兽企业重金招聘Python工程师标准>>> ...
TCP洪水攻击(SYN_SENT)的诊断和处理
csdn426523的博客
07-30 4493
TCP洪水攻击(SYN_SENT)的诊断和处理 SYN攻击原理 SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费服务器CPU和内存资源.SYN攻击聊了能影响主机外,还可以危 害路由器,...
syn-sent
weixin_33708432的博客
12-02 349
netstat -na,看到了某些没有升级的机器上同时出现大量syn_sent会话,针对目的端口TCP 445,可见病毒作祟,类似冲击波之类的,试过一堆安全软件,基本扯淡,根本发现不了。无奈只能手工清理。首先关注的是注册表位置, 转载于:https://blog.51cto.com/sukhoi/116609...
mysql监听显示syn_sent,TCP协议端口状态说明:CLOSE-WAIT、TIME-WAIT 、LISTENING、SYN_SENT、ESTABLISHED、LAST-ACK ......
weixin_32296621的博客
03-18 1295
了解TCP协议端口的链接状态,对排除和定位网络或系统故障会有很大帮助,所以了解一下是有必要的:服务器1、LISTENING网络提供某种服务,侦听远方TCP端口的链接请求,当提供的服务没有被链接时,处于LISTENING状态,端口是开放的,等待被链接。3d2、SYN_SENT (客户端状态)blog客户端调用connect,发送一个SYN请求创建一个链接,在发送链接请求后等待匹配的链接请求,此时状态...
3、SYN-SENT
zhaoyangjian724的专栏
03-27 951
3、SYN-SENT node2:/root#netstat -atnp | grep -i 8080 tcp 0 1 192.168.171.103:16707 192.0.2.1:8080 SYN_SENT 25943/packetdrill 客户端发送 SYN 报文等待 ACK 的过程进入 SYN-SENT状态...
tcp 出现大量 0 1 10.15.5.58:38800 13.200.215.246:6379 SYN_SENT -解决办法
05-10
这是 TCP 连接出现的问题,其中 SYN_SENT 状态表示客户端已经发送了 SYN 包,但是还没有收到服务端的 SYN-ACK 包。通常情况下,这种情况可能是由于网络连接不稳定或者服务端出现故障所引起的。 解决这个问题的方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值