上周接到张工邮件说省公司有台Data Collection Server不断地受到某IP的SNMP连接认证请求报文,担心是受到攻击,核心网元啊可不能被被了啊,又核查此IP是我们专业在用,所以就给我们啦。接到后即核查,发现此IP是台网管终端。

        可能中毒了吧!于是给此终端装上某度免费的杀毒软件,装上去杀毒,毛都没一条。而SNMP请求报文依旧,但网管却都上不了啦!

        卸载杀毒软件,网管又可以正常上网了,但SNMP报文还是不断啊。远程不上那边的电脑,操作都是那边同事弄的,只好叫他们先拨了网线,等我过去现场啦。

        上周四到现场发现只有那台有问题的电脑没装防火墙,其它的终端都开着,于是把所有电脑的防火墙打开。而那时省网工在医院!不能到采集机去看,好吧,我设置下远程,撤。

        到今天接报SNMP还是有的,那台电脑还是有问题。远程处理,这次核查认真,用netstat不断的刷活动的连接进程,发现有两条SYN_SENT的很可疑。如下:

        netstat.jpg

        最后一条是我远程的连接,而上面两条不断的请求连接,估计问题就出现这。

        用netstat -o调出进程的PID,找出其PID,再用任务管理器查看是哪个映像。发现请求telnet的是NmService.exe,而远端是8080的是Tmlisten.exe,其中Tmlisten.exe是趋势防火墙的进程,是所有终端都安装的。至于它是SYN_SENT状态估计是因为10.16.41.153不可达吧,这防火墙太破了,不过导致SNMP应该不是它。

        重点是NmService.exe这个东东了,发现它是在IPswitch/whatsu/NmService.exe。某度下IPswitch,是个网络管理工具哦,但它为什么不断地向192.168.8.66发现telnet呢?此终端根本ping不通192.168.8.66,估计就是因为它不断地telnet,而导致不断地向网络发出SNMP报文吧。

        叉掉此进程,整个删除IPswitch文件夹。告诉张工去验证。