瑞星卡卡安全论坛

今天察看防火墙日志时注意到以下一段记录：
2007-09-09 04:09:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:09:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:08:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:07:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:06:18, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:05:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:05:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:05:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
2007-09-09 04:05:48, 系统允许接收ICMP数据包；地址为：192.168.1.2 <= 60.12.227.95 Code=0, Type=0 ；满足规则：允许Ping出
；
可我并没有ping过这个网址啊？怎么回事？


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

呃,楼主你没ping这个网址?不会吧那防火墙上咋有咧,呵呵有点危险~

看看你的电脑有没有木马,远程控制软件吧,或者发个sreng报告到日志区或者反病毒区吧,

下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等程序和IE窗口,注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。

刚扫描完，我怀疑是。。。

附件: 778457200799135445.txt

日志没问题

应该是正常的网络行为
如果大家装过ARP防火墙的话，就会知道本地端可能会有ARP攻击行为
同理，也可能有ping出行为
而且在局域网中比较多见。
如果楼主放心不下的话，就去看看有没有类似r_server的莫名服务
方法是：
打开控制面板->在左侧选择“切换到经典视图”->管理工具->服务

谢谢大家，我怀疑是网易泡泡的游戏大厅计时功能，还在观察中。