主題: [求助]LINUX被入侵 [打印本頁]
發表人:
onlive 時間: 2005-7-4 06:21 PM 主題: [求助]LINUX被入侵
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
23284 xxxx 25 0 7008 2172 6008 R 97.1 0.6 47:40.94 udp.pl
遭人用使用者xxxx連入主機(非ROOT權限)
因為被佔掉很大的網路頻寬才發現,該使用者的目錄下被清空然後放入loginx loginx.tar.gz 這兩個檔案
現在已經砍掉檔案、更改使用者密碼,不過不知道是被用來做了什麼事情。
求高手幫我看一下是被用來幹了什麼事情。
--
附上netstat的狀況
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address Stat
e
tcp 0 1 192.168.1.10:39955 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:39926 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:39914 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:39913 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:39954 195.159.135.99:6668 SYN_SENT
tcp 0 1 192.168.1.10:39941 195.159.135.99:6668 SYN_SENT
tcp 0 1 192.168.1.10:39952 62.235.13.228:ircd SYN_SENT
tcp 0 1 192.168.1.10:39939 62.235.13.228:ircd SYN_SENT
tcp 0 1 192.168.1.10:39973 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:40015 205.252.46.98:6668 SYN_SENT
tcp 0 1 192.168.1.10:40025 195.159.135.99:6668 SYN_SENT
tcp 0 1 192.168.1.10:39975 62.235.13.228:ircd SYN_SENT
tcp 0 1 192.168.1.10:40023 129.27.3.9:ircd SYN_SENT
tcp 0 1 192.168.1.10:40003 129.27.3.9:ircd SYN_SENT
tcp 0 1 192.168.1.10:39986 129.27.3.9:ircd SYN_SENT
tcp 0 1 192.168.1.10:39985 129.27.3.9:ircd SYN_SENT
tcp 0 1 192.168.1.10:40021 207.96.122.250:6661 SYN_SENT
tcp 0 1 192.168.1.10:40017 207.96.122.250:6661 SYN_SENT
tcp 0 1 192.168.1.10:39982 207.96.122.250:6661 SYN_SENT
tcp 0 1 192.168.1.10:40048 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40053 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40056 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40041 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40044 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40083 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40089 66.28.140.14:ircd SYN_SENT
tcp 0 1 192.168.1.10:40101 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40098 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40105 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40094 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40064 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40066 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40077 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40073 66.28.140.14:6668 SYN_SENT
tcp 0 1 192.168.1.10:40059 193.110.95.1:7777 SYN_SENT
tcp 0 1 192.168.1.10:40060 193.110.95.1:7777 SYN_SENT
tcp 0 1 192.168.1.10:40093 216.24.134.10:6661 SYN_SENT
tcp 0 1 192.168.1.10:40097 193.110.95.1:7777 SYN_SENT
tcp 0 1 192.168.1.10:40097 193.110.95.1:7777 SYN_SENT
tcp 0 1 192.168.1.10:40118 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40119 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40127 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40120 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40122 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40100 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40128 195.121.6.196:6665 SYN_SENT
tcp 0 1 192.168.1.10:40147 140.99.102.4:ircd SYN_SENT
tcp 0 1 192.168.1.10:40113 194.119.238.162:6669 SYN_SENT
tcp 0 1 192.168.1.10:40109 194.119.238.162:6669 SYN_SENT
tcp 0 1 192.168.1.10:40137 194.119.238.162:6669 SYN_SENT
tcp 0 1 192.168.1.10:40141 194.119.238.162:6669 SYN_SENT
tcp 0 1 192.168.1.10:40147 140.99.102.4:ircd SYN_SENT
tcp 0 1 192.168.1.10:40164 194.119.238.162:6669 SYN_SENT
發表人:
chaeung 時間: 2005-7-4 07:50 PM
個人獨斷的偏見:
這個要看您這server的用途及設定, 配合systemlog才知道...
以上
發表人:
gasula 時間: 2005-7-5 01:01 PM
以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包 意圖使主機當機!
發表人:
onlive 時間: 2005-7-5 05:14 PM
引用:
gasula寫到:
以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包 意圖使主機當機!
今天早上又被入侵了
現在只好先設定SSH的連入IP範圍
最近SSH有什麼重大的漏洞嗎?
現在還沒辦法弄清楚是系統的漏洞還是使用者的密碼太過於簡單。
發表人:
NetKidz 時間: 2005-9-23 09:53 PM
9/22 開的版,怎會有 7/4 的文章? 
光看連線應該是去轟別人的 IRC server 吧。
至於系統被搞了什麼鬼,光這樣問,除了搞鬼的人,我想應該沒人可以肯定的回答吧。 
先用 chkrootkit 之類的試看看吧,被換了哪些檔案,除非當初有用類似 tripwire 之類的先做 checksum,
不然也很難確定。
至於怎麼摸進來的?十多年沒碰 Linux 了,搞不清楚囉,抱歉啦~
總之,系統還是重灌較保險。該上的 patch 就上,不該開的 service 就關掉。密碼不要太簡單。可以遠端
連線的服務像 SSH,換一下 port,且不要讓 root 可以遠端 login。
多注意一些像 CERT 的訊息吧,BUGTRAQ 有空也可訂看看。
發表人:
ianchang999 時間: 2005-9-23 10:04 PM
看起來......你在連 irc server, 你會不會是中了後門, 變成 robot了........
發表人:
Frederic 時間: 2005-9-25 09:07 AM
引用:
NetKidz寫到:
9/22 開的版,怎會有 7/4 的文章?
可能從軟體區移過來的
發表人:
MU 時間: 2005-10-5 11:41 PM
你應該先查你的log檔,就可以知道是哪個ip用哪個帳戶登入的,做過什麼事都可以查出來........
發表人:
MU 時間: 2005-10-5 11:43 PM
建議你最好如果沒必要的話!盡量把ssh的功能關閉.....
發表人:
ianchang999 時間: 2005-10-6 11:09 PM
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
發表人:
MU 時間: 2005-10-6 11:30 PM
引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....
發表人:
ianchang999 時間: 2005-10-7 12:01 PM
引用:
MU寫到:
引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....
是kernel mode的"小"程式(lkm?)嗎??
發表人:
MU 時間: 2005-10-7 02:36 PM
引用:
ianchang999寫到:
引用:
MU寫到:
引用:
ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....
是kernel mode的"小"程式(lkm?)嗎??
可以用java或是寫一個shell scrpt都可以.....
| 歡迎光臨 TWed2k (http://twed2k.org/) |
Powered by Discuz! 4.1.0 |