我在计算机上运行了 netstat -a,发现了一些奇怪的项目:
Proto Local Address Foreign Address State
TCP netgym:epmap virusin:0 LISTENING
TCP netgym:microsoft-ds virusin:0 LISTENING
TCP netgym:netbios-ssn virusin:0 LISTENING
所以我检查了 hosts 文件,里面全是乱七八糟的东西。下面是 hosts 文件的精确副本,减去了大约 100 个类似的条目。每个地址在 7 个字符后被截断。
0.0.0.0 virusin
0.0.0.0 www.vir
0.0.0.0 project
0.0.0.0 www.pro
0.0.0.0 novirus
0.0.0.0 www.nov
0.0.0.0 www.ant
0.0.0.0 zeustra
0.0.0.0 www.zeu
0.0.0.0 www.mal
我没有在主机中添加任何这些条目。
有人见过这样的情况吗?这危险吗?重定向到 0.0.0.0 会引发问题吗?
编辑:附加信息
我注释掉了 hosts 文件的第一行,现在我的机器尝试访问的外部地址是列表中的第三个地址:“project”。我的所有服务不应该都转到 localhost 吗?
答案1
正如您所看到的那样,恶意软件可能会做的事情之一就是修改您的主机文件。
0.0.0.0 不是有效的 IP 地址(在大多数 TCP/IP API 中,它表示任意地址)。但是,将 hosts 文件中的条目设置为 0.0.0.0 是使该网站无法访问的一种方法。
看起来您粘贴的内容在边缘处被截断了,所以我不能确定,但我怀疑是恶意软件。如果您尝试访问上述地址,您的浏览器将超时。这可能是为了阻止您访问网站下载恶意软件清除工具或查找有关它的更多信息。
修改 hosts 文件的合法程序会在文件中留下注释并表明自己的身份,说实话这种情况非常罕见。所以,我认为这是某种恶意软件造成的。
答案2
只要您的 hosts 文件中出现任何您未放置的内容,我就会非常警惕。我曾见过感染将大量防病毒更新站点重定向到 127.0.0.1,从而有效地切断了用户更新。这似乎是类似的事情,所以我会立即使用各种工具运行病毒/恶意软件扫描,因为您很可能感染了某种病毒。