RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助]LINUX被入侵   字型大小:||| 
onlive
鐵驢友〔中級〕
等級: 5等級: 5
大大大不妙

 . 積分: 48
 . 文章: 266
 . 收花: 169 支
 . 送花: 1020 支
 . 比例: 6.04
 . 在線: 1868 小時
 . 瀏覽: 14612 頁
 . 註冊: 8191
 . 失蹤: 2027
#1 : 2005-7-4 06:21 PM     只看本作者 引言回覆

PID        USER    PR  NI    VIRT     RES    SHR    S   %CPU      %MEM    TIME+       COMMAND
23284    xxxx     25   0    7008    2172   6008   R      97.1       0.6      47:40.94        udp.pl

遭人用使用者xxxx連入主機(非ROOT權限)
因為被佔掉很大的網路頻寬才發現,該使用者的目錄下被清空然後放入loginx  loginx.tar.gz 這兩個檔案
現在已經砍掉檔案、更改使用者密碼,不過不知道是被用來做了什麼事情。
求高手幫我看一下是被用來幹了什麼事情。


--
附上netstat的狀況

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             Stat
e
tcp        0      1 192.168.1.10:39955          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:39926          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:39914          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:39913          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:39954          195.159.135.99:6668         SYN_SENT
tcp        0      1 192.168.1.10:39941          195.159.135.99:6668         SYN_SENT
tcp        0      1 192.168.1.10:39952          62.235.13.228:ircd          SYN_SENT
tcp        0      1 192.168.1.10:39939          62.235.13.228:ircd          SYN_SENT
tcp        0      1 192.168.1.10:39973          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:40015          205.252.46.98:6668          SYN_SENT
tcp        0      1 192.168.1.10:40025          195.159.135.99:6668         SYN_SENT
tcp        0      1 192.168.1.10:39975          62.235.13.228:ircd          SYN_SENT
tcp        0      1 192.168.1.10:40023          129.27.3.9:ircd             SYN_SENT
tcp        0      1 192.168.1.10:40003          129.27.3.9:ircd             SYN_SENT
tcp        0      1 192.168.1.10:39986          129.27.3.9:ircd             SYN_SENT
tcp        0      1 192.168.1.10:39985          129.27.3.9:ircd             SYN_SENT
tcp        0      1 192.168.1.10:40021          207.96.122.250:6661         SYN_SENT
tcp        0      1 192.168.1.10:40017          207.96.122.250:6661         SYN_SENT
tcp        0      1 192.168.1.10:39982          207.96.122.250:6661         SYN_SENT
tcp        0      1 192.168.1.10:40048          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40053          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40056          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40041          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40044          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40083          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40089          66.28.140.14:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40101          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40098          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40105          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40094          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40064          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40066          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40077          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40073          66.28.140.14:6668           SYN_SENT
tcp        0      1 192.168.1.10:40059          193.110.95.1:7777           SYN_SENT
tcp        0      1 192.168.1.10:40060          193.110.95.1:7777           SYN_SENT
tcp        0      1 192.168.1.10:40093          216.24.134.10:6661          SYN_SENT
tcp        0      1 192.168.1.10:40097          193.110.95.1:7777           SYN_SENT
tcp        0      1 192.168.1.10:40097          193.110.95.1:7777           SYN_SENT
tcp        0      1 192.168.1.10:40118          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40119          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40127          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40120          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40122          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40100          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40128          195.121.6.196:6665          SYN_SENT
tcp        0      1 192.168.1.10:40147          140.99.102.4:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40113          194.119.238.162:6669        SYN_SENT
tcp        0      1 192.168.1.10:40109          194.119.238.162:6669        SYN_SENT
tcp        0      1 192.168.1.10:40137          194.119.238.162:6669        SYN_SENT
tcp        0      1 192.168.1.10:40141          194.119.238.162:6669        SYN_SENT
tcp        0      1 192.168.1.10:40147          140.99.102.4:ircd           SYN_SENT
tcp        0      1 192.168.1.10:40164          194.119.238.162:6669        SYN_SENT



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
chaeung
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
GOD

 . 積分: 264
 . 文章: 1337
 . 收花: 1379 支
 . 送花: 1 支
 . 比例: 0
 . 在線: 1321 小時
 . 瀏覽: 16502 頁
 . 註冊: 8224
 . 失蹤: 1109
#2 : 2005-7-4 07:50 PM     只看本作者 引言回覆

個人獨斷的偏見:

這個要看您這server的用途及設定, 配合systemlog才知道...

以上



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
gasula
驢有所悟
等級: 3等級: 3


 . 積分: 15
 . 文章: 39
 . 收花: 62 支
 . 送花: 18 支
 . 比例: 0.29
 . 在線: 205 小時
 . 瀏覽: 3661 頁
 . 註冊: 7305
 . 失蹤: 5453
#3 : 2005-7-5 01:01 PM     只看本作者 引言回覆

以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包 意圖使主機當機!


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
onlive
鐵驢友〔中級〕
等級: 5等級: 5
大大大不妙

 . 積分: 48
 . 文章: 266
 . 收花: 169 支
 . 送花: 1020 支
 . 比例: 6.04
 . 在線: 1868 小時
 . 瀏覽: 14612 頁
 . 註冊: 8191
 . 失蹤: 2027
#4 : 2005-7-5 05:14 PM     只看本作者 引言回覆


引用:
gasula寫到:
以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包 意圖使主機當機!


今天早上又被入侵了

現在只好先設定SSH的連入IP範圍

最近SSH有什麼重大的漏洞嗎?

現在還沒辦法弄清楚是系統的漏洞還是使用者的密碼太過於簡單。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
NetKidz
蘿莉魔人
等級: 20等級: 20等級: 20等級: 20等級: 20


 . 積分: 4167
 . 精華: 3
 . 文章: 2915
 . 收花: 19122 支
 . 送花: 7277 支
 . 比例: 0.38
 . 在線: 1017 小時
 . 瀏覽: 28521 頁
 . 註冊: 7308
 . 失蹤: 5569
 . Mysterious Island
#5 : 2005-9-23 09:53 PM     只看本作者 引言回覆

9/22 開的版,怎會有 7/4 的文章?

光看連線應該是去轟別人的 IRC server 吧。
至於系統被搞了什麼鬼,光這樣問,除了搞鬼的人,我想應該沒人可以肯定的回答吧。

先用 chkrootkit 之類的試看看吧,被換了哪些檔案,除非當初有用類似 tripwire 之類的先做 checksum,
不然也很難確定。

至於怎麼摸進來的?十多年沒碰 Linux 了,搞不清楚囉,抱歉啦~

總之,系統還是重灌較保險。該上的 patch 就上,不該開的 service 就關掉。密碼不要太簡單。可以遠端
連線的服務像 SSH,換一下 port,且不要讓 root 可以遠端 login。

多注意一些像 CERT 的訊息吧,BUGTRAQ 有空也可訂看看。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ianchang999
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 24
 . 文章: 75
 . 收花: 81 支
 . 送花: 7 支
 . 比例: 0.09
 . 在線: 347 小時
 . 瀏覽: 7551 頁
 . 註冊: 7316
 . 失蹤: 3301
#6 : 2005-9-23 10:04 PM     只看本作者 引言回覆

看起來......你在連 irc server, 你會不會是中了後門, 變成 robot了........


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Frederic
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
不定期上線

 . 積分: 282
 . 精華: 1
 . 文章: 2101
 . 收花: 1255 支
 . 送花: 457 支
 . 比例: 0.36
 . 在線: 237 小時
 . 瀏覽: 5420 頁
 . 註冊: 7329
 . 失蹤: 1477
#7 : 2005-9-25 09:07 AM     只看本作者 引言回覆


引用:
NetKidz寫到:
9/22 開的版,怎會有 7/4 的文章?

可能從軟體區移過來的



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
MU
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
驢的傳人-驢騎士

今日心情

 . 積分: 766
 . 精華: 12
 . 文章: 5248
 . 收花: 3153 支
 . 送花: 1999 支
 . 比例: 0.63
 . 在線: 612 小時
 . 瀏覽: 6230 頁
 . 註冊: 7465
 . 失蹤: 33
 . 台中的阿土伯
#8 : 2005-10-5 11:41 PM     只看本作者 引言回覆

你應該先查你的log檔,就可以知道是哪個ip用哪個帳戶登入的,做過什麼事都可以查出來........


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
MU
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
驢的傳人-驢騎士

今日心情

 . 積分: 766
 . 精華: 12
 . 文章: 5248
 . 收花: 3153 支
 . 送花: 1999 支
 . 比例: 0.63
 . 在線: 612 小時
 . 瀏覽: 6230 頁
 . 註冊: 7465
 . 失蹤: 33
 . 台中的阿土伯
#9 : 2005-10-5 11:43 PM     只看本作者 引言回覆

建議你最好如果沒必要的話!盡量把ssh的功能關閉.....


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ianchang999
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 24
 . 文章: 75
 . 收花: 81 支
 . 送花: 7 支
 . 比例: 0.09
 . 在線: 347 小時
 . 瀏覽: 7551 頁
 . 註冊: 7316
 . 失蹤: 3301
#10 : 2005-10-6 11:09 PM     只看本作者 引言回覆

假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng    好用, 讚


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
MU
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
驢的傳人-驢騎士

今日心情

 . 積分: 766
 . 精華: 12
 . 文章: 5248
 . 收花: 3153 支
 . 送花: 1999 支
 . 比例: 0.63
 . 在線: 612 小時
 . 瀏覽: 6230 頁
 . 註冊: 7465
 . 失蹤: 33
 . 台中的阿土伯
#11 : 2005-10-6 11:30 PM     只看本作者 引言回覆


引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng    好用, 讚

如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ianchang999
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 24
 . 文章: 75
 . 收花: 81 支
 . 送花: 7 支
 . 比例: 0.09
 . 在線: 347 小時
 . 瀏覽: 7551 頁
 . 註冊: 7316
 . 失蹤: 3301
#12 : 2005-10-7 12:01 PM     只看本作者 引言回覆


引用:
MU寫到:

引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng    好用, 讚

如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....


是kernel mode的"小"程式(lkm?)嗎??



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
MU
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
驢的傳人-驢騎士

今日心情

 . 積分: 766
 . 精華: 12
 . 文章: 5248
 . 收花: 3153 支
 . 送花: 1999 支
 . 比例: 0.63
 . 在線: 612 小時
 . 瀏覽: 6230 頁
 . 註冊: 7465
 . 失蹤: 33
 . 台中的阿土伯
#13 : 2005-10-7 02:36 PM     只看本作者 引言回覆


引用:
ianchang999寫到:

引用:
MU寫到:

引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng    好用, 讚

如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....


是kernel mode的"小"程式(lkm?)嗎??

可以用java或是寫一個shell scrpt都可以.....



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-12-5 02:46 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.052969 second(s), 8 queries , Qzip disabled