询问一个HPUX及ORACLE相关的网络安全方面的问题

hawkli

我们在用户处有多套HPUX系统,HPUX11.23,安装了oracle9.2.0.1。目前接到用户投诉，说他们通过安氏的网络监控发现相关的多台主机发现存在RPC攻击行为，主要特征是相关主机在高位端口(50000~60000)端口向广播地址的111端口发送包。我们对此情况进行了数周的跟踪，发现这种所谓的攻击行为不定时，有可能是几小时一次，每次时间也很短，我们询问了中国HP，他们提供了一个抓包工具，可以抓到瞬时所有端口的状态，可是通过数周的定时调度，未发现用户所说的攻击行为。随后在本周，HP报告说发现与/opt/networker下的程序有关，此目录下的文件可能与ORACLE有关，请各位帮助
我检查了一台主机，当前和/opt/networker相关的进程如下：

1. 
   
2. ps -ef |grep networker
   
3.     root  1334  1178  0 10月 17  ?         8:20 /opt/networker/bin/nsrmmd -n 1
   
4.     root  1178     1  0 10月 17  ?        53:34 /opt/networker/bin/nsrd
   
5. datacap  7822  7786  1 10:53:58 pts/tf    0:00 grep networker
   
6.     root  1105     1  0 10月 17  ?         0:46 /opt/networker/bin/nsrexecd
   
7.     root  1106  1105  0 10月 17  ?         0:54 /opt/networker/bin/nsrexecd
   
8.     root  1265  1178  7 10月 17  ?        36:45 /opt/networker/bin/nsrmmdbd
   
9.     root  1315  1178  0 10月 17  ?         1:37 /opt/networker/bin/nsrindexd
   
10.     root 16420  1178  0 10月 18  ?         0:37 /opt/networker/bin/savegrp Default
    
11.     root 16442  1106  0 10月 18  ?         1:03 /opt/networker/bin/nsrexecd
    
12.     root 16444 16442  0 10月 18  ?         0:52 /opt/networker/bin/save -s px_nmc -g Default -LL -m px_nmc -
    
13.     root 16438 16420  0 10月 18  ?         0:51 /opt/networker/bin/nsrexec -T 1800 -- px_nmc:/nsr/res/nsr.re
    
14.     root  5122  1178  0 10:08:10 ?         0:00 /opt/networker/bin/nsrmmd -n 2
    
15. $

复制代码

我想知道怎么才能找到用户所说的攻击行为，是否有人遇到过我这种情况，我可以保证的是应用程序侧不存在问题。

sunyone

HP提供的抓包工具叫什么呀，要不要钱呀，能提供一份不？

sonorous

networker是Legato的备份软件,Oracle里带一个简版的,备份时是会随机打开很多端口,用完会自动关,一般对安全是没影响的,如里怀疑,可以先把netwotker停掉再测一下,nsr_shutdown -a,用nsrmon可以监控nsr的作业情况

hawkli

非常感谢，的确可以通过nsr_shutdown -a命令关掉。
我想再问一下，
1.关掉这些服务会对系统产生什么样的影响？
2.对ORACLE有什么影响么？
3.这个服务一般是什么时候启动的？
4.怎么才能去掉自动启动这些服务？

sonorous

这是备份软件，关健看你有没有用它，如果在用的话，最好检查一下备份作业，如果没有正式用的话，停了删了都可以，把/sbin/rc.d/中的相关脚本改名即可，删除可以通过swremove或sam来做，你把nsrjb的输出贴一下，如果方便的话，先用nwadmin进去检查一下，再决定是否删除