- 论坛徽章:
- 1
|
上午服务器受到了大量的imcp攻击 !我用iptraf监视到了大量的imcp攻击!内网的特别严重!现在已经查出内网的病毒,也把那些关杀毒了!服务器已恢复正常!
上午在遭攻击时,我用iptables看到了一些很奇怪的参数,很明显,我的防火墙被 更改,是谁有这样的手段?
[root@localhost root]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere multiport dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,http,ftp,domain,pop3,smtp
ACCEPT udp -- anywhere anywhere multiport dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ftp,domain
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT gre -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere multiport dports pop3,http,smtp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Lokkit-0-50-INPUT (0 references)
target prot opt source destination
[root@localhost root]#
现在这样是正常的!但是在攻击期间,在
Chain RH-Lokkit-0-50-INPUT (0 references)
target prot opt source destination
上面被 加了一个ip而且 是特别放行的!不明白这是怎么加上去的!是谁有这样的能耐????先前我的iptables规则 里内网是无条件放行的!难道就是因为这个,内网就有权限改iptables???????????????现在我把内网也禁了!只开了一些对应的端口 |
|