TWed2k - Linux交流 - [求助]LINUX被入侵

onlive
鐵驢友〔中級〕

大大大不妙

．積分： 48
．文章： 266
．收花： 169 支
．送花： 1020 支
．比例： 6.04
．在線： 1868 小時
．瀏覽： 14612 頁
．註冊： 7961 天
．失蹤： 1798 天

#1 : 2005-7-4 06:21 PM 只看本作者	送花 (0) 送出中...

PID       USER PR  NI VIRT    RES SHR S %CPU    %MEM TIME+    COMMAND
23284 xxxx    25 0 7008 2172 6008 R    97.1    0.6    47:40.94       udp.pl

遭人用使用者xxxx連入主機（非ROOT權限）
因為被佔掉很大的網路頻寬才發現，該使用者的目錄下被清空然後放入loginx  loginx.tar.gz 這兩個檔案
現在已經砍掉檔案、更改使用者密碼，不過不知道是被用來做了什麼事情。
求高手幫我看一下是被用來幹了什麼事情。

--
附上netstat的狀況

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address             Foreign Address          Stat
e
tcp       0    1 192.168.1.10:39955       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:39926       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:39914       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:39913       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:39954       195.159.135.99:6668       SYN_SENT
tcp       0    1 192.168.1.10:39941       195.159.135.99:6668       SYN_SENT
tcp       0    1 192.168.1.10:39952       62.235.13.228:ircd       SYN_SENT
tcp       0    1 192.168.1.10:39939       62.235.13.228:ircd       SYN_SENT
tcp       0    1 192.168.1.10:39973       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:40015       205.252.46.98:6668       SYN_SENT
tcp       0    1 192.168.1.10:40025       195.159.135.99:6668       SYN_SENT
tcp       0    1 192.168.1.10:39975       62.235.13.228:ircd       SYN_SENT
tcp       0    1 192.168.1.10:40023       129.27.3.9:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40003       129.27.3.9:ircd          SYN_SENT
tcp       0    1 192.168.1.10:39986       129.27.3.9:ircd          SYN_SENT
tcp       0    1 192.168.1.10:39985       129.27.3.9:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40021       207.96.122.250:6661       SYN_SENT
tcp       0    1 192.168.1.10:40017       207.96.122.250:6661       SYN_SENT
tcp       0    1 192.168.1.10:39982       207.96.122.250:6661       SYN_SENT
tcp       0    1 192.168.1.10:40048       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40053       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40056       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40041       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40044       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40083       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40089       66.28.140.14:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40101       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40098       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40105       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40094       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40064       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40066       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40077       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40073       66.28.140.14:6668          SYN_SENT
tcp       0    1 192.168.1.10:40059       193.110.95.1:7777          SYN_SENT
tcp       0    1 192.168.1.10:40060       193.110.95.1:7777          SYN_SENT
tcp       0    1 192.168.1.10:40093       216.24.134.10:6661       SYN_SENT
tcp       0    1 192.168.1.10:40097       193.110.95.1:7777          SYN_SENT
tcp       0    1 192.168.1.10:40097       193.110.95.1:7777          SYN_SENT
tcp       0    1 192.168.1.10:40118       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40119       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40127       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40120       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40122       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40100       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40128       195.121.6.196:6665       SYN_SENT
tcp       0    1 192.168.1.10:40147       140.99.102.4:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40113       194.119.238.162:6669       SYN_SENT
tcp       0    1 192.168.1.10:40109       194.119.238.162:6669       SYN_SENT
tcp       0    1 192.168.1.10:40137       194.119.238.162:6669       SYN_SENT
tcp       0    1 192.168.1.10:40141       194.119.238.162:6669       SYN_SENT
tcp       0    1 192.168.1.10:40147       140.99.102.4:ircd          SYN_SENT
tcp       0    1 192.168.1.10:40164       194.119.238.162:6669       SYN_SENT

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

chaeung
版主

GOD

．積分： 264
．文章： 1337
．收花： 1379 支
．送花： 1 支
．比例： 0
．在線： 1321 小時
．瀏覽： 16502 頁
．註冊： 7995 天
．失蹤： 879 天

#2 : 2005-7-4 07:50 PM 只看本作者	送花 (0) 送出中...

個人獨斷的偏見：

這個要看您這server的用途及設定, 配合systemlog才知道...

以上

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

gasula
驢有所悟

．積分： 15
．文章： 39
．收花： 62 支
．送花： 18 支
．比例： 0.29
．在線： 205 小時
．瀏覽： 3661 頁
．註冊： 7076 天
．失蹤： 5224 天

#3 : 2005-7-5 01:01 PM 只看本作者	送花 (0) 送出中...

以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包意圖使主機當機!

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

onlive
鐵驢友〔中級〕

大大大不妙

．積分： 48
．文章： 266
．收花： 169 支
．送花： 1020 支
．比例： 6.04
．在線： 1868 小時
．瀏覽： 14612 頁
．註冊： 7961 天
．失蹤： 1798 天

#4 : 2005-7-5 05:14 PM 只看本作者	送花 (0) 送出中...

引用:

gasula寫到:
以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包意圖使主機當機!

今天早上又被入侵了

現在只好先設定SSH的連入IP範圍

最近SSH有什麼重大的漏洞嗎？

現在還沒辦法弄清楚是系統的漏洞還是使用者的密碼太過於簡單。

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

NetKidz
蘿莉魔人

．積分： 4167
．精華： 3
．文章： 2915
．收花： 19122 支
．送花： 7277 支
．比例： 0.38
．在線： 1017 小時
．瀏覽： 28521 頁
．註冊： 7078 天
．失蹤： 5339 天
． Mysterious Island

#5 : 2005-9-23 09:53 PM 只看本作者	送花 (0) 送出中...

9/22 開的版，怎會有 7/4 的文章？

光看連線應該是去轟別人的 IRC server 吧。
至於系統被搞了什麼鬼，光這樣問，除了搞鬼的人，我想應該沒人可以肯定的回答吧。

先用 chkrootkit 之類的試看看吧，被換了哪些檔案，除非當初有用類似 tripwire 之類的先做 checksum，
不然也很難確定。

至於怎麼摸進來的？十多年沒碰 Linux 了，搞不清楚囉，抱歉啦～

總之，系統還是重灌較保險。該上的 patch 就上，不該開的 service 就關掉。密碼不要太簡單。可以遠端
連線的服務像 SSH，換一下 port，且不要讓 root 可以遠端 login。

多注意一些像 CERT 的訊息吧，BUGTRAQ 有空也可訂看看。

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ianchang999
鐵驢友〔初級〕

今日心情

．積分： 24
．文章： 75
．收花： 81 支
．送花： 7 支
．比例： 0.09
．在線： 347 小時
．瀏覽： 7551 頁
．註冊： 7087 天
．失蹤： 3072 天

#6 : 2005-9-23 10:04 PM 只看本作者	送花 (0) 送出中...

看起來......你在連 irc server, 你會不會是中了後門, 變成 robot了........

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Frederic
版主

不定期上線

．積分： 282
．精華： 1
．文章： 2101
．收花： 1255 支
．送花： 457 支
．比例： 0.36
．在線： 237 小時
．瀏覽： 5420 頁
．註冊： 7099 天
．失蹤： 1247 天

#7 : 2005-9-25 09:07 AM 只看本作者	送花 (0) 送出中...

引用:

NetKidz寫到:
9/22 開的版，怎會有 7/4 的文章？

可能從軟體區移過來的

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

MU
版主

驢的傳人-驢騎士

今日心情

．積分： 765
．精華： 12
．文章： 5247
．收花： 3150 支
．送花： 1996 支
．比例： 0.63
．在線： 609 小時
．瀏覽： 6090 頁
．註冊： 7236 天
．失蹤： 72 天
．台中的阿土伯

#8 : 2005-10-5 11:41 PM 只看本作者	送花 (3) 送出中...

你應該先查你的log檔，就可以知道是哪個ip用哪個帳戶登入的，做過什麼事都可以查出來........

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

MU
版主

驢的傳人-驢騎士

今日心情

．積分： 765
．精華： 12
．文章： 5247
．收花： 3150 支
．送花： 1996 支
．比例： 0.63
．在線： 609 小時
．瀏覽： 6090 頁
．註冊： 7236 天
．失蹤： 72 天
．台中的阿土伯

#9 : 2005-10-5 11:43 PM 只看本作者	送花 (3) 送出中...

建議你最好如果沒必要的話！盡量把ssh的功能關閉.....

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ianchang999
鐵驢友〔初級〕

今日心情

．積分： 24
．文章： 75
．收花： 81 支
．送花： 7 支
．比例： 0.09
．在線： 347 小時
．瀏覽： 7551 頁
．註冊： 7087 天
．失蹤： 3072 天

#10 : 2005-10-6 11:09 PM 只看本作者	送花 (0) 送出中...

假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

MU
版主

驢的傳人-驢騎士

今日心情

．積分： 765
．精華： 12
．文章： 5247
．收花： 3150 支
．送花： 1996 支
．比例： 0.63
．在線： 609 小時
．瀏覽： 6090 頁
．註冊： 7236 天
．失蹤： 72 天
．台中的阿土伯

#11 : 2005-10-6 11:30 PM 只看本作者	送花 (3) 送出中...

引用:

ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚

如果會寫程式的話！寫個小程式把不知來路的ip踢掉就可以了.....

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ianchang999
鐵驢友〔初級〕

今日心情

．積分： 24
．文章： 75
．收花： 81 支
．送花： 7 支
．比例： 0.09
．在線： 347 小時
．瀏覽： 7551 頁
．註冊： 7087 天
．失蹤： 3072 天

#12 : 2005-10-7 12:01 PM 只看本作者	送花 (0) 送出中...

引用:

MU寫到:

引用:

ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚

如果會寫程式的話！寫個小程式把不知來路的ip踢掉就可以了.....

是kernel mode的"小"程式(lkm?)嗎??

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

MU
版主

驢的傳人-驢騎士

今日心情

．積分： 765
．精華： 12
．文章： 5247
．收花： 3150 支
．送花： 1996 支
．比例： 0.63
．在線： 609 小時
．瀏覽： 6090 頁
．註冊： 7236 天
．失蹤： 72 天
．台中的阿土伯

#13 : 2005-10-7 02:36 PM 只看本作者	送花 (3) 送出中...

引用:

ianchang999寫到:

引用:

MU寫到:

引用:

ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚

如果會寫程式的話！寫個小程式把不知來路的ip踢掉就可以了.....

是kernel mode的"小"程式(lkm?)嗎??

可以用java或是寫一個shell scrpt都可以.....

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆