免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 操作系统 › Linux系统管理 › 咨询高手linux服务器是不是被入侵了。

最近访问板块

发新帖

查看: 2355 | 回复: 9

上一主题

下一主题

[系统安全] 咨询高手linux服务器是不是被入侵了。 [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2012-12-10 13:47 |只看该作者 |倒序浏览

操作系统是CentOS release 5.3

服务器的IP是192.168.1.201，图片中的登陆日志是从深信服上网行为管理系统中查到的。

在linux系统中使用last看不到登陆记录。。

还有一个现象是使用antiarp抓到的。服务器的发包量最大。

单位有一个办公室里面的机器经常掉线，掉线时间为20-30秒。。之后网络恢复正常。
掉线后win7系统的网络连接图标显示黄色感叹号。
请大侠帮忙分析原因。

文库|博客

论坛徽章:: 33

荣誉会员
日期:2011-11-23 16:44:17

天秤座
日期:2014-08-26 16:18:20

天秤座
日期:2014-08-29 10:12:18

丑牛
日期:2014-08-29 16:06:45

丑牛
日期:2014-09-03 10:28:58

射手座
日期:2014-09-03 16:01:17

寅虎
日期:2014-09-11 14:24:21

天蝎座
日期:2014-09-17 08:33:55

IT运维版块每日发帖之星
日期:2016-04-17 06:23:27

操作系统版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-24 06:20:00

15-16赛季CBA联赛之天津
日期:2016-05-06 12:46:59

2楼 [报告]

发表于 2012-12-10 19:52 |只看该作者

ssh 并不一定要 login的, 所以, last里是不会有记录的.看一下 secu 的 log. ssh 的请求应该会记录在这里的.

另外, win7 掉线跟 Linux有啥关系呀?

从你这点记录, 看不出被入侵. 除非你这机器就是你的网关. 那有可能有问题了, 至少有这么多外IP ssh过来就不正常.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

3楼 [报告]

发表于 2012-12-10 20:46 |只看该作者

可能是ip 冲突？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 6

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

2015年迎新春徽章
日期:2015-03-03 17:33:52

2015元宵节徽章
日期:2015-03-06 15:50:39

IT运维版块每日发帖之星
日期:2016-01-11 06:20:00

IT运维版块每日发帖之星
日期:2016-03-19 06:20:00

19周年集字徽章-19
日期:2019-09-06 18:56:11

4楼 [报告]

发表于 2012-12-10 22:13 |只看该作者

有一点可以肯定，攻击者正对你的ssh服务进行试探。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2012-12-11 09:45 |只看该作者

服务器上面有5个secur文件，每个文件中一个IP的尝试登陆记录。

但都没有登陆成功。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 381

CU十二周年纪念徽章
日期:2014-01-04 22:46:58

CU大牛徽章
日期:2013-03-13 15:32:35

CU大牛徽章
日期:2013-03-13 15:38:15

CU大牛徽章
日期:2013-03-13 15:38:52

CU大牛徽章
日期:2013-03-14 14:08:55

CU大牛徽章
日期:2013-04-17 11:17:19

CU大牛徽章
日期:2013-04-17 11:17:32

CU大牛徽章
日期:2013-04-17 11:17:37

CU大牛徽章
日期:2013-04-17 11:17:42

CU大牛徽章
日期:2013-04-17 11:17:47

CU大牛徽章
日期:2013-04-17 11:17:52

CU大牛徽章
日期:2013-04-17 11:17:56

6楼 [报告]

发表于 2012-12-11 09:54 |只看该作者

没有登录成功,还没入侵成功.
楼主修改下sshd_config,将PermitRootLogin yes改成PermitRootLogin no,不让root用ssh登录

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2012-12-11 10:18 |只看该作者

好的。谢谢了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 381

CU十二周年纪念徽章
日期:2014-01-04 22:46:58

CU大牛徽章
日期:2013-03-13 15:32:35

CU大牛徽章
日期:2013-03-13 15:38:15

CU大牛徽章
日期:2013-03-13 15:38:52

CU大牛徽章
日期:2013-03-14 14:08:55

CU大牛徽章
日期:2013-04-17 11:17:19

CU大牛徽章
日期:2013-04-17 11:17:32

CU大牛徽章
日期:2013-04-17 11:17:37

CU大牛徽章
日期:2013-04-17 11:17:42

CU大牛徽章
日期:2013-04-17 11:17:47

CU大牛徽章
日期:2013-04-17 11:17:52

CU大牛徽章
日期:2013-04-17 11:17:56

8楼 [报告]

发表于 2012-12-11 10:21 |只看该作者

另外,建议你ssh用key的方式登录,取消密码登陆认证,这样没有key,他是连接不上服务器的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

9楼 [报告]

发表于 2012-12-11 10:39 |只看该作者

好的，谢谢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

10楼 [报告]

发表于 2012-12-12 10:42 |只看该作者

请大大们继续帮忙分析一下。这个是抓包截图。192.168.1.201是dell服务器地址，mac是 D4:AE:52:77:96:22
。是centos系统。

办公室有一部分电脑还是掉线。是不是可以判断201服务器中有arp病毒。
谢谢啦，我实在搞不定了。。掉线快一个月了。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

发新帖

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 咨询高手linux服务器是不是被入侵了。

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP