免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 BSD 我感觉我的系统被入侵了
最近访问板块 发新帖
查看: 3764 | 回复: 6
打印 上一主题 下一主题

[FreeBSD] 我感觉我的系统被入侵了 [复制链接]

hsboy

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-06-05 00:53 |只看该作者 |倒序浏览
本帖最后由 hsboy 于 2010-06-05 00:59 编辑

求助帖!!!

操作系统freebsd8 p2,安装了apache/php/mysql/postfix等。apache以www身份运行。网站文件所属用户也是www。root不允许远程登录,而且远程登录只认public key(UsePAM no)。操作系统是从7升级上来的。

今天我发现系统CPU占用很高,看了一下进程,有几个有问题:
TOP看到的特别耗资源的:
81392 www           1  44    0  6232K  3764K select  1 446:23  0.00% perl5.8.9
81449 www           1  44    0  6232K  3764K select  1 445:29  0.00% perl5.8.9
40384 www           1  44    0  6236K  3760K select  0 445:09  0.00% perl5.8.9
78197 www           1  44    0  6224K  3756K select  1 444:58  0.00% perl5.8.9
78065 www           1  44    0  6220K  3752K select  1 443:25  0.00% perl5.8.9
40546 www           1  44    0  6236K  3768K select  1 433:16  0.00% perl5.8.9

ps auxwww看到的:
www     78065  0.0  0.2  6220  3752  ??  S    27Apr10 443:24.53 /usr/local/apache/bin/httpd -DSSL (perl5.8.9)
www     78197  0.0  0.2  6224  3756  ??  S    27Apr10 444:57.53 /usr/local/apache/bin/httpd -DSSL (perl5.8.9)
www     40384  0.0  0.2  6236  3760  ??  S    21Apr10 445:08.89 [bash] (perl5.8.9)
www     40546  0.0  0.2  6236  3768  ??  S    21Apr10 433:15.82 /usr/sbin/cron (perl5.8.9)
www     81392  0.0  0.2  6232  3764  ??  S    23Apr10 446:22.72 /usr/sbin/cron (perl5.8.9)
www     81449  0.0  0.2  6232  3764  ??  S    23Apr10 445:28.99 [bash] (perl5.8.9)
实际上我的apache是安装在/usr/local/sbin/httpd,而不是以上所显示的/usr/local/apache。

使用lsof查看,得到如下信息:
s1# lsof -i | grep 40384
perl5.8.9 40384   www    3u  IPv4 0xca030278      0t0  TCP [SERVER]:32481->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
perl5.8.9 40384   www   46u  IPv4 0xca8b3278      0t0  TCP localhost:63906->localhost:3306 (CLOSED)
s1# lsof -i | grep 40546
perl5.8.9 40546     www    3u  IPv4 0xc5d30278      0t0  TCP [SERVER]::48491->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
s1# lsof -i | grep 78065
perl5.8.9 78065     www    3u  IPv4 0xc5e7f768      0t0  TCP [SERVER]::32485->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
s1# lsof -i | grep 78197
perl5.8.9 78197     www    3u  IPv4 0xca8b59e0      0t0  TCP [SERVER]::32483->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
s1# lsof -i | grep 81449
perl5.8.9 81449     www    3u  IPv4 0xc9f91c58      0t0  TCP [SERVER]::32484->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
perl5.8.9 81449     www   46u  IPv4 0xc6164dc0      0t0  TCP localhost:18911->localhost:3306
s1# lsof -i | grep 81392
perl5.8.9 81392     www    3u  IPv4 0xca3a19e0      0t0  TCP [SERVER]::32486->xxxcnn6945.hospedagemdesites.ws:5555 (ESTABLISHED)
perl5.8.9 81392     www   48u  IPv4 0xca9c2528      0t0  TCP localhost:33629->localhost:3306

telnet xxxcnn6945.hospedagemdesites.ws:5555 得到的服务器响应:
NOTICE AUTH :*** Hostname lookup disabled, using your numeric IP
NOTICE AUTH :*** Checking Ident

我查了一下这个响应信息应该是IRC服务的。IRC服务我没有用过。

我服务器上开启了ipfw,只开放了几个服务端口(apache/smtp/pop3/dns)。


请大伙帮我分析分析这是怎么回事。这几个进程我还留着。我该怎么进一步调查?
hhgrz

论坛徽章:
0
2 [报告]
发表于 2010-06-05 07:59 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
fender0107401

论坛徽章:
89
水瓶座 日期:2014-04-01 08:53:31天蝎座 日期:2014-04-01 08:53:53天秤座 日期:2014-04-01 08:54:02射手座 日期:2014-04-01 08:54:15子鼠 日期:2014-04-01 08:55:35辰龙 日期:2014-04-01 08:56:36未羊 日期:2014-04-01 08:56:27戌狗 日期:2014-04-01 08:56:13亥猪 日期:2014-04-01 08:56:02亥猪 日期:2014-04-08 08:38:58程序设计版块每日发帖之星 日期:2016-01-05 06:20:00程序设计版块每日发帖之星 日期:2016-01-07 06:20:00
3 [报告]
发表于 2010-06-05 10:18 |只看该作者
AIDE
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
mirnshi

论坛徽章:
2
技术图书徽章 日期:2013-09-04 15:21:51酉鸡 日期:2013-11-01 21:20:20
4 [报告]
发表于 2010-06-05 16:09 |只看该作者
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hsboy

论坛徽章:
0
5 [报告]
发表于 2010-06-05 17:04 |只看该作者
问题是我的系统中不存在/usr/local/apache,但是进程中看到的却是这个路径。我从未用过/usr/local/apache
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xti9er

论坛徽章:
0
6 [报告]
发表于 2010-06-20 16:20 |只看该作者
回复 1# hsboy


    是 IRCBOT,你 只 限制了 连入 的 连接 ,没有 限制往外的 连接 。所以 IPFW 没阻挡得 了。

    参见 这两篇文章
http://hi.baidu.com/xti9er/blog/ ... 83cec67dd92a0c.html
http://hi.baidu.com/xti9er/blog/ ... 13531eb21bba15.html
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
hsboy

论坛徽章:
0
7 [报告]
发表于 2010-07-16 20:03 |只看该作者
回复 8# xti9er


    受教了!

我之前已经清理了一下系统。但是怎么被攻入的还是没有搞清楚。最近观察了一下系统,没有发现异常进程和TCP连接,先不管它了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP