免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 请教:这台机房的 redhat linux 9 是被黑了吗?
12下一页
最近访问板块 发新帖
查看: 2118 | 回复: 14
打印 上一主题 下一主题

请教:这台机房的 redhat linux 9 是被黑了吗? [复制链接]

veryi.com

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-06-21 10:49 |只看该作者 |倒序浏览
请教:这台机房的 redhat linux 9 是被黑了吗?

放在IDC机房的一台Red Hat Linux release 9 服务器,是做测试用的,没启任何服务,

但最近从交换机的流量图上发现流量经常冲到7M以上,时间都是晚上或夜里。而且系统中多了一个

莫名其妙的用户。请教一下大家:

1、是怎么被黑的?redhat 9有什么漏洞吗?我开着iptables的,用了最严格的的策略。
2、那个大流量是怎么回事?

附:系统信息
#uname -a
Linux  2.4.26 #1 SMP Sat Jun 5 14:04:39 CST 2004 i686 i686 i386 GNU/Linux

#netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:32768           0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:32769         0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:199             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      
udp        0      0 0.0.0.0:32768           0.0.0.0:*                           
udp        0      0 0.0.0.0:792             0.0.0.0:*                           
udp        0      0 0.0.0.0:161             0.0.0.0:*                           
udp        0      0 0.0.0.0:111             0.0.0.0:*                           
udp        0      0 0.0.0.0:631             0.0.0.0:*

#iptables -L -nv
Chain INPUT (policy DROP 9 packets, 544 bytes)
pkts bytes target     prot opt in     out     source               destination         
   0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:0x12/0x12 state NEW reject-with tcp-reset
   0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:!0x16/0x02 state NEW LOG flags 0 level 4 prefix `INPUT ! SYN : '
   0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp flags:!0x16/0x02 state NEW
   0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:53 state NEW
979 69824 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 3
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 11
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 18
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp dpt:53 flags:0x16/0x02 state NEW
   0     0 ACCEPT     tcp  --  *      *       x.x.x.x/24      0.0.0.0/0          tcp dpt:22 flags:0x16/0x02 state NEW
   8   936 ACCEPT     all  --  *      *       x.x.x.x/27   0.0.0.0/0           
   9   544 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0          LOG flags 6 level 6 prefix `[INPUT] : '

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 2 packets, 152 bytes)
pkts bytes target     prot opt in     out     source               destination         
   0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
   0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp dpt:53
853  256K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 11
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 8
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          state NEW icmp type 17
   0     0 ACCEPT     udp  --  *      *       x.x.x.x/27   0.0.0.0/0          udp dpt:123
   2   152 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0          LOG flags 6 level 6 prefix `[OUTPUT] : '


注:    x.x.x.x是我们局域网的ip。


# ps -ax
PID TTY      STAT   TIME COMMAND
   1 ?        S      0:41 init [3]   
   2 ?        SW     0:00 [keventd]
   3 ?        SWN    0:00 [ksoftirqd_CPU0]
   4 ?        SWN    0:00 [ksoftirqd_CPU1]
   5 ?        SW     0:00 [kswapd]
   6 ?        SW     0:00 [bdflush]
   7 ?        SW     0:11 [kupdated]
   9 ?        SW     0:00 [ahc_dv_0]
  10 ?        SW     0:00 [ahc_dv_1]
  11 ?        SW     0:00 [scsi_eh_0]
  12 ?        SW     0:00 [scsi_eh_1]
  13 ?        SW     0:00 [khubd]
  14 ?        SW     0:09 [kjournald]
133 ?        SW     0:04 [kjournald]
134 ?        SW     0:06 [kjournald]
135 ?        SW     0:11 [kjournald]
136 ?        SW     0:00 [kjournald]
137 ?        SW     0:00 [kjournald]
1021 ?        S      0:00 portmap
1040 ?        S      0:00 rpc.statd
1133 ?        S      1:27 /usr/sbin/sshd
1147 ?        S      0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
1161 ?        SL     2:15 ntpd -U ntp -g
1180 ?        S      1:47 sendmail: accepting connections
1189 ?        S      0:01 sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue
1199 ?        S      0:00 gpm -t ps/2 -m /dev/psaux
1208 ?        S      0:03 crond
1289 ?        S      0:00 xfs -droppriv -daemon
1307 ?        S      0:01 /usr/sbin/atd
1321 tty1     S      0:00 /sbin/mingetty tty1
1322 tty2     S      0:00 /sbin/mingetty tty2
1323 tty3     S      0:00 /sbin/mingetty tty3
1324 tty4     S      0:00 /sbin/mingetty tty4
1325 tty5     S      0:00 /sbin/mingetty tty5
1326 tty6     S      0:00 /sbin/mingetty tty6
2791 ?        S      0:26 /usr/sbin/snmpd -s -l /dev/null -P /var/run/snmpd -a
4002 ?        S      0:00 syslogd -m 0
4006 ?        S      0:00 klogd -x
5082 ?        S      0:02 cupsd
12760 ?        S      0:00 /usr/sbin/sshd
12762 pts/1    S      0:00 -bash
12820 ?        S      0:00 /usr/sbin/sshd
12822 pts/2    S      0:00 -bash
12914 pts/2    R      0:00 ps -ax
veryi.com

论坛徽章:
0
2 [报告]
发表于 2005-06-21 14:18 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

在线等答案
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
水中风铃

论坛徽章:
0
3 [报告]
发表于 2005-06-21 14:27 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

So many service ..............

snmp/ipp/rpc.........
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
4 [报告]
发表于 2005-06-21 14:28 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

下个入侵检测工具查查看,叫 kit 什么的忘记了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
veryi.com

论坛徽章:
0
5 [报告]
发表于 2005-06-21 14:49 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

可是iptables把端口都封了啊,不但INPUT的包不允许。本机发出的包也不允许的
# iptables -L INPUT -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:0x12/0x12 state NEW reject-with tcp-reset
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:!0x16/0x02 state NEW LOG flags 0 level 4 prefix `INPUT ! SYN : '
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0          tcp flags:!0x16/0x02 state NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53 state NEW
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 3
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 18
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:53 flags:0x16/0x02 state NEW

# iptables -L OUTPUT -n
Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          state NEW icmp type 17
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
platinum

论坛徽章:
0
6 [报告]
发表于 2005-06-21 14:50 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

你的规则逻辑上有问题,你的防火墙形同虚设,全部都是 ACCEPT 的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
veryi.com

论坛徽章:
0
7 [报告]
发表于 2005-06-21 15:00 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

呵呵,没详细列出:
iptables -L -nv
Chain INPUT (policy DROP 9 packets, 544 bytes)
pkts bytes target     prot opt in     out     source               destination         
  0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0   

那个是针对环设备的
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
veryi.com

论坛徽章:
0
8 [报告]
发表于 2005-06-21 17:30 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

默认policy 是DROP ,首先要ACCEPT lo,
-A INPUT -i lo -j ACCEPT
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
飘雪心辰

论坛徽章:
0
9 [报告]
发表于 2005-06-22 09:48 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

兄弟到这个网站http://www.chkrootkit.org/上把chkrootkig下载到机子上,编译,检测,把结果贴出来看看不就知道了,还有你可用rpm -Va >; verify检验.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
飘雪心辰

论坛徽章:
0
10 [报告]
发表于 2005-06-22 09:52 |只看该作者

请教:这台机房的 redhat linux 9 是被黑了吗?

如果只发现lkm有问题,一般都是possible字样,那你还应做进一步的检测,在去找几个工具,比如kstat,check-ps,kern之类的,这几款工具都有自己的绝活,检查系统进程和系统调用表.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP