大家有空帮看一下是否可能受到攻击

quakelee

昨天一台机器是FreeBSD4.8-stable，上面有zeus服务器，一个vsftpd，开着ssh和telnet，有net-snmp和mrtg，icmp没有封掉，现在问题是所有服务都没有记录日志，只有snmp的记录，mrtg记录显示在当机前同时出现高CPU占用率瞬间达到67％，高内存使用率87.2M/128M，和一个高峰流浪480kb/s，是否可能是受到了DOS的攻击呢？
出现这三个情况以后立刻当机了，现在无法确定是内核崩溃还是进程死锁，怀疑是内核崩溃了。重启以后发现机器没有受到损失。开始认为是硬件故障，但现在基本排除了，但是如果是受到攻击的话现在也不好确定，第一流量并不大一个480kb/s的流量的DOS攻击能让系统崩溃么？第二CPU最高使用率不到70％，系统就崩溃了，以FreeBSD来说，似乎不太可能，而且内存使用率也不到90％，估计死掉以后系统资源全部占满了或者干脆就是内核崩溃了，或者有可能freebsd有bug？能让系统瞬间崩溃？可是这台机器是5月初升级的，最近没听说有重大的补丁发布呀，大家能帮忙分析一下么

darkcc

内核崩溃

i2era

我用FB的时间比较短，只遇到过一次，不过是在我的workstation上
当时装了个Hping2(RC2)，调的参数可能过大（用的是8139的网卡且没有做tuning），导致core dump，系统自动重起，后来调了kern.ipc.nmbclusters就没有遇到过了，在server上没有遇到过，到是遇到过几次断电，不过没事（以前用Linux，遇到一次断电就不行了，这也是促使我把Linux换为FB的一个原因）
不过偶的server负荷比较轻：

1. 
   
2. [bsd ~]#vmstat
   
3. procs      memory      page                    disks     faults      cpu
   
4. r b w     avm    fre  flt  re  pi  po  fr  sr ad0 md0   in   sy  cs us sy id
   
5. 0 0 0   37520  96596    1   0   0   0   0   0   0   0  688    8   5  0  1 99
   

复制代码

主要用来做NAT,对外只开了80port
[/code]

quakelee

[quote]原帖由 "darkcc"]内核崩溃[/quote 发表：
     
我也怀疑内核崩溃，但是也不能无缘无故吧，因为那台机器平时流量非常小，都在3～4k左右，5分钟平均流量通常不超过50k，瞬间出现480kb/s的流量还是很特殊的，所以还是怀疑外来的攻击引发的，应该不会是自己崩溃的

i2era

你的是什么CPU？
什么主板新片？     

net-snmp和mrtg都是占CPU的大户啊     

系统的日志呢？     
messages里什么也没记录？

kinux

[quote]原帖由 "quakelee"]昨天一台机器是FreeBSD4.8-stable，上面有zeus服务器，一个vsftpd，开着ssh和telnet，有net-snmp和mrtg，icmp没有封掉，现在问题是所有服务都没有记录日志，只有snmp的记录，mrtg记录显示在当机前同时出现高CPU占用

quakelee

原帖由 "i2era" 发表：
你的是什么CPU？
什么主板新片？     

net-snmp和mrtg都是占CPU的大户啊     

系统的日志呢？

是一台赛羊1g的机器，主板不太清楚，不是我装得，我觉得不太可能是硬件的问题，如果硬件故障也不应该显示出有流量呀，而且还是不算太低的流量呢，可问题是也不算太高？？而且现在从mrtg的图上看，流量记录是完整的，就是在5分钟之内出现的，一下子马上就下去了，但是CPU和内存的图形在同一时间里就停在那里，之后系统就崩溃了，说明这个流量一过机器就当了，主要原因还是这个问题，其他系统日志都看不出来问题呀。web日志没记录：（

kinux

try to use sniffer to capture the packets, i suggest to install snort and run it in Daemon mode, then you just try to look the alert, there may show you what attack your system..

(Sorry, i come here through company server, diffcult to type chinese, so use English)

kinux

What application services you are running...
What software...

quakelee

原帖由 "kinux" 发表：
What application services you are running...
What software...

   
all services I was running is in the first one,
I have checked the vsftpd's log but is okay.
before crashed it got about 480kb/s packet rate in 5 minutes, and after that the machine crashed.
I will installed a snort as soon as possible to check it.