Linux网络流量异常，求高手指点迷津

dualgaun

新安装了一台服务器，redhat enterprise 5.5，作为网站服务器，没打过补丁就直接用了。 最近学校网络中心将这台机器停掉了，说是监控显示网络流量异常，（网站还没架完呢，一晚上就几百兆流量），可能被人攻击或者当肉鸡了。

现在让网络中心重启了，但是ping有丢包，远程登录反应极慢。


求高手指点，我该怎么办？         身边没几个懂linux的。

干着急啊~~~

之前这个服务器就被人攻击过，所以才重新做的系统。现在又开始了。

dualgaun

Mylib

这个涉及的比较多啊

系统：  打补丁，把ROOT密码弄复杂点

WEB： 看看有没有WEBSHELL之类的文件

楼下补充

dualgaun

我还是先把补丁打了吧，可是如果我是远程登录，该怎么操作呢？可能问的问题比较菜，实在没办法，一点没操作过。

chenyx

分析下web日志,看看有没有被上传什么东西
另外,做一下系统加固,ssh禁止root登陆,只用key登陆,用iptables限制下,drop掉所有不必要的端口.
感觉web注入的可能性大,分析web日志,应该可以找到被注入的程序代码的,先把漏洞补上再说吧

bakgho

如果你的redhat也是下载的，建议楼主用centos5，可以即时更新漏洞，
1. 增加root密码复杂度。
2. 拒绝root用户的远程管理，平常管理用普通用户，需要root权限时，su，或者sudo。
3. 设置安全的iptable规则，建议拒绝所有，后开放所需端口。
4. 如果没有别的需求，就定制安装，尽量减少不必要的进程。
5. 检测网站源码，看是否存在重大漏洞。

2005wind

装个ntop 先看看 是什么流量

king_819

典型的被当肉鸡了，按照楼上一些坛友说的，先分析日志（系统日志、应用程序日志），看是什么原因导致的入侵，弱口令的问题一定要注意了，禁止root登录，或者用key，停止一些不用的服务，iptable安全加固，再看看web是否存在注入的问题，做一些常用的优化

jerryjzm

楼主，你们的系统打底有没有做防护？

dualgaun

感谢各位高手的指点，参照你们的建议我一步步来吧，被人当肉鸡的可能性很大，得补补 安全知识了。这个系统直接从网上下载下来，装完了就直接用了。没啥防护，也没打补丁。原来以为学校网络中心肯定会有安全保障.....