免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3608 | 回复: 7

服务器被攻击了,请高手分析一下原因 [复制链接]

论坛徽章:
0
发表于 2010-05-15 11:36 |显示全部楼层
我的一台Linux服务器被攻击了,服务器自动连接别人的SMTP服务器来发送邮件。

[root@www clientmqueue]# ps -ef | grep sendmail
root     27331     1  0 08:35 ?        00:00:20 sendmail: accepting connections
root     27332 27331  0 08:35 ?        00:00:24 sendmail: running queue: /var/spool/mqueue
smmsp    27341     1  0 08:35 ?        00:00:00 sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue
apache   20796 24035  0 09:14 ?        00:00:00 /usr/sbin/sendmail -t -i
root      8998 27331  0 09:35 ?        00:00:14 sendmail: running queue: /var/spool/mqueue
root     27057 27331  0 10:35 ?        00:00:06 sendmail: running queue: /var/spool/mqueue
root      3819     1  0 11:31 ?        00:00:00 sendmail: ./o4F3VQ3C003806 hood.cnchost.com.: user open
root      4591     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WTg5004586 mx1.home.com.: user open
root      4622     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WVBq004606 saltlake2002.com.: user open
root      4779     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WgCf004769 pe.net.: user open
root      4826     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WjqU004814 attcanada.ca.: user open
root      4842     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WkhG004824 cell-defense.com.: user open
root      4963     1  0 11:32 ?        00:00:00 sendmail: ./o4F3WtFD004946 nullmx.domainmanager.com.: user open
apache    4964 29803  0 11:32 ?        00:00:00 /usr/sbin/sendmail -t -i
apache    5007 11749  0 11:33 ?        00:00:00 /usr/sbin/sendmail -t -i
apache    5010 16323  0 11:33 ?        00:00:00 sendmail: [127.0.0.1]: idle
apache    5015  1318  0 11:33 ?        00:00:00 /usr/sbin/sendmail -t -i
root      5018 27331  0 11:33 ?        00:00:00 sendmail: server localhost.localdomain [127.0.0.1] cmd read
root      5030     1  0 11:33 ?        00:00:00 sendmail: ./o4F3X1BX005018 mx.netins.net.: client EHLO


netstat -an |grep :25 |sort -n
tcp        0      0 128.1.30.100:46711          207.155.249.230:25          TIME_WAIT
tcp        0      0 128.1.30.100:47102          207.56.151.96:25            TIME_WAIT
。。。。。。。。。。。。。。。。。。。。
tcp        0     28 128.1.30.100:47485          204.127.208.75:25           ESTABLISHED
tcp        0   3371 128.1.30.100:47481          65.54.188.72:25             ESTABLISHED
tcp        0      7 128.1.30.100:46093          76.96.62.116:25             LAST_ACK
tcp        0      7 128.1.30.100:46302          76.96.62.116:25             LAST_ACK
tcp        0      7 128.1.30.100:47478          64.12.90.1:25               LAST_ACK
tcp        0      7 128.1.30.100:47479          64.12.90.1:25               LAST_ACK
tcp        0      7 128.1.30.100:47480          64.12.90.34:25              LAST_ACK
tcp        0      7 128.1.30.100:47482          98.137.54.238:25            LAST_ACK
tcp        1      0 128.1.30.100:47465          65.254.254.50:25            CLOSE_WAIT

[root@www clientmqueue]# netstat -an |grep :25 |wc -l
128

应该如何分析这个原因啊,或者如何拒绝掉! 我是新手,请大家多帮帮忙!

论坛徽章:
0
发表于 2010-05-15 14:58 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
发表于 2010-05-16 00:39 |显示全部楼层
你会用iptables么

论坛徽章:
0
发表于 2010-05-16 18:44 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
发表于 2010-05-17 09:45 |显示全部楼层
iptables会一点,应该怎么做呢?

论坛徽章:
0
发表于 2010-05-17 09:55 |显示全部楼层
回复 2# 一支老情歌


  WEB服务器被人当成了发送垃圾有的服务器了。

论坛徽章:
0
发表于 2010-05-18 00:41 |显示全部楼层

论坛徽章:
0
发表于 2010-05-18 17:30 |显示全部楼层
netstat -nlp去看看是哪个进程在发送呀
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP