紧急求救：web服务器主动从80端口出包！

rainyblue

紧急求救

系统信息：
rh9+apache 2.0.48+php4.3.2

网络结构：
前端为防火
由防火充当路由
转发所有页面请求
服务器真实地址为内网保留地址
internet用户只拥有对80的访问权限

故障现象：
inet有大量1-3字节的包对服务器进行请求
其中存在大量私有地址的tcp包
但被防火拒绝请求
昨天上午大约10点起监控到防火会话中有服务器从80端口主动发送的包
目的地址凌乱无明显规律
多为合法地址段
查看服务器dmesg信息中有大量
tcp:treason uncloaked信息

自我诊断：
一、服务器可能被植入反弹木马等后门程序
但以rav for linux 8升级到最新版本后未发现病毒
apache为自行编译，配置为只允许指定用户执行
该用户的权限只允许读写本帐户文件
ftp只允许对指定的远程维护IP开放
php上传文件只允许上传jpg或gif图片
php作为dso模式编译
未使用cgi方式编译
未编译gd模块

二、服务器遭到IP欺骗
但服务器理论上不应该主动出包

请各位大虾帮忙瞅瞅
紧急！！！
在线等待！

ayazero

服务器主动发送数据包的目的地址如果是零散的,应该不是后门

你可以参考一下这篇文章:
http://bbs.chinaunix.net/forum/29/20040528/335596.html

ayazero

如果怀疑有rwwwshell,httptunnel之类的后门,可以抓包,将通信内容转换成可读的ASCII格式,查看是否有执行命令的内容,另外后门和普通htttp请求的数据流量也不一样.