免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2286 | 回复: 9

[系统安全] 咨询高手linux服务器是不是被入侵了。 [复制链接]

论坛徽章:
0
发表于 2012-12-10 13:47 |显示全部楼层
操作系统是CentOS release 5.3

服务器的IP是192.168.1.201,图片中的登陆日志是从深信服上网行为管理系统中查到的。

11.png

在linux系统中使用last看不到登陆记录。。

还有一个现象是使用antiarp抓到的。服务器的发包量最大。
22.png

单位有一个办公室里面的机器经常掉线,掉线时间为20-30秒。。之后网络恢复正常。
掉线后win7系统的网络连接图标显示黄色感叹号。
请大侠帮忙分析原因。

论坛徽章:
33
荣誉会员
日期:2011-11-23 16:44:17天秤座
日期:2014-08-26 16:18:20天秤座
日期:2014-08-29 10:12:18丑牛
日期:2014-08-29 16:06:45丑牛
日期:2014-09-03 10:28:58射手座
日期:2014-09-03 16:01:17寅虎
日期:2014-09-11 14:24:21天蝎座
日期:2014-09-17 08:33:55IT运维版块每日发帖之星
日期:2016-04-17 06:23:27操作系统版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-24 06:20:0015-16赛季CBA联赛之天津
日期:2016-05-06 12:46:59
发表于 2012-12-10 19:52 |显示全部楼层
ssh 并不一定要 login的, 所以, last里是不会有记录的.看一下 secu 的 log. ssh 的请求应该会记录在这里的.

另外, win7 掉线 跟 Linux有啥关系呀?

从你这点记录, 看不出被入侵. 除非你这机器就是你的网关. 那有可能有问题了, 至少有这么多外IP ssh过来就不正常.

论坛徽章:
0
发表于 2012-12-10 20:46 |显示全部楼层
可能是ip 冲突?

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-12-10 22:13 |显示全部楼层
有一点可以肯定,攻击者正对你的ssh服务进行试探。

论坛徽章:
0
发表于 2012-12-11 09:45 |显示全部楼层
333.png


服务器上面有5个secur文件,每个文件中一个IP的尝试登陆记录。

但都没有登陆成功。

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-12-11 09:54 |显示全部楼层
没有登录成功,还没入侵成功.
楼主修改下sshd_config,将PermitRootLogin yes改成PermitRootLogin no,不让root用ssh登录

论坛徽章:
0
发表于 2012-12-11 10:18 |显示全部楼层
好的。谢谢了。

论坛徽章:
381
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2012-12-11 10:21 |显示全部楼层
另外,建议你ssh用key的方式登录,取消密码登陆认证,这样没有key,他是连接不上服务器的

论坛徽章:
0
发表于 2012-12-11 10:39 |显示全部楼层
好的,谢谢。

论坛徽章:
0
发表于 2012-12-12 10:42 |显示全部楼层
请大大们继续帮忙分析一下。这个是抓包截图。192.168.1.201是dell服务器地址 ,mac是 D4:AE:52:77:96:22
。 是centos系统。

办公室有一部分电脑还是掉线。是不是可以判断201服务器中有arp病毒。
谢谢啦,我实在搞不定了。。掉线快一个月了。。

QQ截图20121212104000.png
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP