今天查看secure发现有点异常，谁来帮忙看看

flycms

Chain INPUT (policy DROP)
num  target    prot opt source              destination
1    LOG        tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 LOG
flags 0 level 6 prefix `iptables'
2    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          MAC 00:21:97:4
3:C4:CB tcp dpt:22
3    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53
4    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:53
5    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:67
6    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:80
7    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80
8    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:8080
9    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:8080
10  ACCEPT    tcp  --  192.168.0.0/24      0.0.0.0/0          tcp dpt:21
11  ACCEPT    udp  --  192.168.0.0/24      0.0.0.0/0          udp dpt:21
12  ACCEPT    tcp  --  192.168.0.0/24      0.0.0.0/0          tcp dpt:139
13  ACCEPT    tcp  --  192.168.0.0/24      0.0.0.0/0          tcp dpt:445
14  ACCEPT    udp  --  192.168.0.0/24      0.0.0.0/0          udp dpt:137
15  ACCEPT    tcp  --  192.168.0.0/24      0.0.0.0/0          tcp dpt:138
16  ACCEPT    all  --  127.0.0.1            127.0.0.1
17  ACCEPT    tcp  --  192.168.0.0/24      0.0.0.0/0          tcp dpt:25
18  ACCEPT    udp  --  192.168.0.0/24      0.0.0.0/0          udp dpt:25
19  ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:110
20  ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:110

Chain FORWARD (policy DROP)
num  target    prot opt source              destination
1    ACCEPT    all  --  0.0.0.0/0            192.168.0.0/24
2    ACCEPT    all  --  192.168.0.0/24      0.0.0.0/0

Chain OUTPUT (policy DROP)
num  target    prot opt source              destination
1    ACCEPT    tcp  --  0.0.0.0/0            192.168.0.187      state ESTABLIS
HED tcp spt:22
2    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:53
3    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53
4    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:67
5    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:80 sta
te ESTABLISHED
6    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:80 sta
te ESTABLISHED
7    ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:8080 s
tate ESTABLISHED
8    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:8080 s
tate ESTABLISHED
9    ACCEPT    tcp  --  0.0.0.0/0            192.168.0.0/24      tcp spt:21 sta
te ESTABLISHED
10  ACCEPT    udp  --  0.0.0.0/0            192.168.0.0/24      udp spt:21 sta
te ESTABLISHED
11  ACCEPT    tcp  --  0.0.0.0/0            192.168.0.0/24      tcp spt:139 st
ate ESTABLISHED
12  ACCEPT    tcp  --  0.0.0.0/0            192.168.0.0/24      tcp spt:445 st
ate ESTABLISHED
13  ACCEPT    udp  --  0.0.0.0/0            192.168.0.0/24      udp spt:137 st
ate ESTABLISHED
14  ACCEPT    tcp  --  0.0.0.0/0            192.168.0.0/24      tcp spt:138 st
ate ESTABLISHED
15  ACCEPT    all  --  127.0.0.1            127.0.0.1
16  ACCEPT    udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:110
17  ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:110
18  ACCEPT    tcp  --  0.0.0.0/0            192.168.0.0/24      tcp spt:25 sta
te ESTABLISHED
19  ACCEPT    udp  --  0.0.0.0/0            192.168.0.0/24      udp spt:25 sta
te ESTABLISHED
发邮件报错：
您的'草稿'文件夹没有轮询未读计数。 无法连接到服务器。 帐户: [email=]'testmail@schweblab.com'[/email], 服务器: '192.168.0.1', 协议: IMAP, 服务器响应: '', 端口: 143, 安全(SSL): 否, 错误号: 0x800CCC0E

chenyx

没看明白.

marsaber

规则搞这么严格干吗啊？
这样最容易出错啦。

flycms

[quote]原帖由 chenyx 于 2009-10-24 21:53 发表
没看明白. [/quote昨天没有贴出图来
port 1704 ssh2
Oct 18 11:01:30 REHL5 sshd[5651]: pam_unix(sshd:session): session opened for use
r root by (uid=0)
Oct 18 16:14:05 REHL5 sshd[6689]: Did not receive identification string from UNK
NOWN
Oct 18 16:14:42 REHL5 sshd[6691]: Invalid user staff from 59.52.255.63
Oct 18 16:14:42 REHL5 sshd[6692]: input_userauth_request: invalid user staff
Oct 18 16:14:42 REHL5 sshd[6691]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 16:14:42 REHL5 sshd[6691]: pam_unix(sshd:auth): authentication failure; l
ogname= uid=0 euid=0 tty=ssh ruser= rhost=59.52.255.63
Oct 18 16:14:42 REHL5 sshd[6691]: pam_succeed_if(sshd:auth): error retrieving in
formation about user staff
Oct 18 16:14:44 REHL5 sshd[6691]: Failed password for invalid user staff from 59
.52.255.63 port 35764 ssh2
Oct 18 16:14:44 REHL5 sshd[6692]: Received disconnect from 59.52.255.63: 11: Bye
Bye
Oct 18 16:14:45 REHL5 sshd[6693]: Invalid user sales from 59.52.255.63
Oct 18 16:14:46 REHL5 sshd[6694]: input_userauth_request: invalid user sales
Oct 18 16:14:46 REHL5 sshd[6693]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 16:14:46 REHL5 sshd[6693]: pam_unix(sshd:auth): authentication failure; l
ogname= uid=0 euid=0 tty=ssh ruser= rhost=59.52.255.63
Oct 18 16:14:46 REHL5 sshd[6693]: pam_succeed_if(sshd:auth): error retrieving in
formation about user sales
Oct 18 16:14:48 REHL5 sshd[6693]: Failed password for invalid user sales from 59
.52.255.63 port 44719 ssh2
Oct 18 16:14:48 REHL5 sshd[6694]: Received disconnect from 59.52.255.63: 11: Bye
Bye
Oct 18 16:14:49 REHL5 sshd[6696]: Invalid user recruit from 59.52.255.63
Oct 18 16:14:49 REHL5 sshd[6697]: input_userauth_request: invalid user recruit
Oct 18 16:14:49 REHL5 sshd[6696]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 16:14:49 REHL5 sshd[6696]: pam_unix(sshd:auth): authentication failure; l
ogname= uid=0 euid=0 tty=ssh ruser= rhost=59.52.255.63
Oct 18 16:14:49 REHL5 sshd[6696]: pam_succeed_if(sshd:auth): error retrieving in
formation about user recruit
Oct 18 16:14:52 REHL5 sshd[6696]: Failed password for invalid user recruit from
59.52.255.63 port 53284 ssh2
Oct 18 16:14:52 REHL5 sshd[6697]: Received disconnect from 59.52.255.63: 11: Bye
Bye
Oct 18 16:14:53 REHL5 sshd[6698]: Invalid user alias from 59.52.255.63
Oct 18 16:14:53 REHL5 sshd[6699]: input_userauth_request: invalid user alias
Oct 18 16:14:53 REHL5 sshd[6698]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 16:14:53 REHL5 sshd[6698]: pam_unix(sshd:auth): authentication failure; l
ogname= uid=0 euid=0 tty=ssh ruser= rhost=59.52.255.63
Oct 18 16:14:53 REHL5 sshd[6698]: pam_succeed_if(sshd:auth): error retrieving in
formation about user alias
Oct 18 16:14:55 REHL5 sshd[6698]: Failed password for invalid user alias from 59
.52.255.63 port 60584 ssh2
Oct 18 16:14:55 REHL5 sshd[6699]: Received disconnect from 59.52.255.63: 11: Bye
Bye
Oct 18 16:14:57 REHL5 sshd[6700]: Invalid user office from 59.52.255.63
Oct 18 16:14:57 REHL5 sshd[6701]: input_userauth_request: invalid user office
Oct 18 16:14:57 REHL5 sshd[6700]: pam_unix(sshd:auth): check pass; user unknown
Oct 18 16:14:57 REHL5 sshd[6700]: pam_unix(sshd:auth): authentication failure; l
ogname= uid=0 euid=0 tty=ssh ruser= rhost=59.52.255.63
Oct 18 16:14:57 REHL5 sshd[6700]: pam_succeed_if(sshd:auth): error retrieving in
formation about user office
Oct 18 16:14:59 REHL5 sshd[6700]: Failed password for invalid user office from 5
9.52.255.63 port 40850 ssh2
Oct 18 16:14:59 REHL5 sshd[6701]: Received disconnect from 59.52.255.63: 11: Bye
Bye
Oct 18 16:15:00 REHL5 sshd[6702]: Invalid user samba from 59.52.255.63
Oct 18 16:15:00 REHL5 sshd[6703]: input_userauth_request: invalid user samba
====================================================================
这个ip总是尝试连接我的主机吧

gamester88

那就把那个ip地址DROP掉啊，用key登录会不会好些啊

chenyx

ssh试探密码攻击,貌似没进入系统.
建议关闭ssh密码认证,用key认证

zengkun_2008

楼主的规则好严厉呀。就开了 几个 端口 。

kns1024wh

如果端口可以被telnet 通过 那么应该是邮件服务器或者偶然的网络问题

vermouth

好像有做 nat.

marsaber

只要你密码足够强壮，你尽管让他们暴啊。

这是很正常的事。