系统向其它主机的21端口发“SYN”包,不能找到原因，高手帮忙［已解决］

pengiums

　　　这几天比较烦，服务提供商发来邮件，说我们的机器攻击别人，使用tethreal 抓包后果然发现了攻击活动，包内容如下：

　
Frame 2 (54 bytes on wire, 54 bytes captured)
    Arrival Time: Oct 22, 2008 06:24:44.993724000
    [Time delta from previous captured frame: 0.000024000 seconds]
    [Time delta from previous displayed frame: 0.000024000 seconds]
    [Time since reference or first frame: 0.000024000 seconds]
    Frame Number: 2
    Frame Length: 54 bytes
    Capture Length: 54 bytes
    [Frame is marked: False]
    [Protocols in frame: eth:ip:tcp]
Ethernet II, Src: Dell_fb:5b:da (00:1d:09:fb:3b:da), Dst: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
    Destination: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
        Address: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Source: Dell_fb:5b:da (00:1d:09:fb:3b:da)
        Address: Dell_fb:5b:da (00:1d:09:fb:3b:da)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
    Type: IP (0x0800)
Internet Protocol, Src: 123.123.123.123 (123.123.123.123), Dst: 85.91.1.180 (85.91.1.180)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 40
    Identification: 0x2549 (9545)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: TCP (0x06)
    Header checksum: 0xfe0f [correct]
        [Good: True]
        [Bad : False]
    Source: 123.123.123.123 (123.123.123.123)
    Destination: 85.91.1.180 (85.91.1.180)
Transmission Control Protocol, Src Port: 14359 (14359), Dst Port: ftp (21), Seq: 0, Len: 0
    Source port: 14359 (14359)
    Destination port: ftp (21)
    Sequence number: 0    (relative sequence number)
    Acknowledgment number: Broken TCP. The acknowledge field is nonzero while the ACK flag is not set
    Header length: 20 bytes
    Flags: 0x02 (SYN)
        0... .... = Congestion Window Reduced (CWR): Not set
        .0.. .... = ECN-Echo: Not set
        ..0. .... = Urgent: Not set
        ...0 .... = Acknowledgment: Not set
        .... 0... = Push: Not set
        .... .0.. = Reset: Not set
        .... ..1. = Syn: Set
        .... ...0 = Fin: Not set
    Window size: 5226
    Checksum: 0x34eb [incorrect, should be 0x350b (maybe caused by "TCP checksum offload"?)]
        [Good Checksum: False]
        [Bad Checksum: True]

在发现这个之后，使用ps查看运行的进程，没有发现异常的进程（或许是我没有发现）使用netstat　-anc 不停查看向外的网络活动，并没有发现发向外部21端口的连接。　当时怀疑系统工具已经被感染，所以从我本地系统中上传　ps,netstat工具后查看内容一样。

　现在就是使用抓包工具能够抓到向外的攻击包，但使用netstat并不能发现这些内容。怎样才能找出发包的进程？　各位大虾有没有碰到过这种事情，如果有的话提醒下小弟！　谢谢了。

[ 本帖最后由 pengiums 于 2008-10-27 11:26 编辑 ]

pengiums

使用nessused对机器做过检测，也没有发现什么漏洞。

pengiums

自己来顶一下，期待高手到来

pengiums

现在怀疑是由于“内核开启了LKM”从而感染了内核级的rootkit，导致使用ps 和netstat无效。但在EL5上编译kstat无法成功，老是提示找不到头文件。请问还有没有其它可以检测内核rootkit的工具？　我已经用过了chkrootkit和rhkunter.

pengiums

各位大大，如果通过LKM中了木马的话，有何解决办法，除过重新编译内核和重装？

frank_seng

netstat -a显示的是本机的套接字，一般的攻击工具不会建立套接字，是自己构造syn攻击包从你机器里面直接发往目的地址，因此用netstat是看不到的，一般这都是某个攻击进程在作怪，或某正常进程被感染，应该和kernel无关

pengiums

感谢楼上的回复,谢谢！有时候如果内核由于支持LKM的话，就用可能让攻击者将一些“坏的”模块加载入内核，从而隐藏进程及其它信息，之前只对2.4内核有效，但现在似乎对2.6内核有效的也出来了。

上周五已经把问题找到了，机器没有问题，根源在于我们的一个智能DNS软件为了判定与访问者之间的网络长度，所以会向用户所使用的dns发送syn空包，如果一个区域的用户很多的话，就会有这种问题。