免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1306 | 回复: 8
打印 上一主题 下一主题

netstat 后,发现非法登陆者!怎么办!! [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2004-09-29 22:57 |只看该作者 |倒序浏览
发现3组,怎么才能让这3组永远不能登陆我的服务器????
tcp        0      0 10.0.0.1:46042          mx2.mail.tw.yahoo.:smtp ESTABLISHED
tcp        0      1 10.0.0.1:45093          mx2.mail.tw.yahoo.:smtp FIN_WAIT1
tcp        0      0 10.0.0.1:46217          mx2.mail.tw.yahoo.:smtp ESTABLISHED
tcp        0      0 10.0.0.1:46218          mx2.mail.tw.yahoo.:smtp ESTABLISHED

tcp        0      0 10.0.0.1:46166          mx1.yam.com:smtp        ESTABLISHED
tcp        0      0 10.0.0.1:46165          mx1.yam.com:smtp        ESTABLISHED
tcp        0      0 10.0.0.1:46164          mx1.yam.com:smtp        ESTABLISHED
tcp        0      0 10.0.0.1:46163          mx1.yam.com:smtp        ESTABLISHED
tcp        0      0 10.0.0.1:46159          mx1.yam.com:smtp        ESTABLISHED
tcp        0      0 10.0.0.1:45539          mx1.yam.com:smtp        ESTABLISHED

tcp        0      7 10.0.0.1:46474          mx3.mail2000.com.t:smtp FIN_WAIT1
tcp        1      7 10.0.0.1:46475          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46472          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46473          mx3.mail2000.com.t:smtp CLOSING
tcp        1      7 10.0.0.1:46478          mx3.mail2000.com.t:smtp LAST_ACK
tcp        0      0 10.0.0.1:46479          mx3.mail2000.com.t:smtp ESTABLISHED
tcp        0      0 10.0.0.1:46476          mx3.mail2000.com.t:smtp ESTABLISHED
tcp        1      7 10.0.0.1:46477          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46466          mx3.mail2000.com.t:smtp CLOSING
tcp        1      7 10.0.0.1:46467          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46464          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46465          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46470          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46471          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46468          mx3.mail2000.com.t:smtp CLOSING
tcp        0      0 10.0.0.1:46469          mx3.mail2000.com.t:smtp ESTABLISHED
tcp        0      0 10.0.0.1:46490          mx3.mail2000.com.t:smtp ESTABLISHED
tcp        1      7 10.0.0.1:46483          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46480          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46481          mx3.mail2000.com.t:smtp LAST_ACK
tcp        1      7 10.0.0.1:46484          mx3.mail2000.com.t:smtp LAST_ACK
tcp        0      0 10.0.0.1:46458          mx3.mail2000.com.t:smtp ESTABLISHED
tcp        1      7 10.0.0.1:46459          mx3.mail2000.com.t:smtp LAST_ACK

论坛徽章:
0
2 [报告]
发表于 2004-09-29 23:20 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

vi /etc/host.deny,将IP列入deny名单!

论坛徽章:
0
3 [报告]
发表于 2004-09-30 00:52 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

这不象非法登录,倒象是人家在利用你的服务器作垃圾邮件中继.

论坛徽章:
0
4 [报告]
发表于 2004-09-30 01:18 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

正常外发邮件嘛,这是你的MAIL服务器?

论坛徽章:
1
金牛座
日期:2014-05-29 15:55:47
5 [报告]
发表于 2004-09-30 01:26 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

原帖由 "伶俜" 发表:
发现3组,怎么才能让这3组永远不能登陆我的服务器????
tcp        0      0 10.0.0.1:46042          mx2.mail.tw.yahoo.:smtp ESTABLISHED
tcp        0      1 10.0.0.1:45093          mx2.mail.tw.yahoo.:..........

晕死~你连netstat都看不懂,就开始瞎说。先去学习一下netstat吧。

论坛徽章:
0
6 [报告]
发表于 2004-09-30 21:57 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

[quote]原帖由 "JohnBull"]这不象非法登录,倒象是人家在利用你的服务器作垃圾邮件中继.[/quote 发表:


我认为也是这样.

论坛徽章:
0
7 [报告]
发表于 2004-09-30 23:28 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

ip是伪造的,如果不是邮件服务器,封端口.

论坛徽章:
0
8 [报告]
发表于 2004-09-30 23:31 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

[quote]原帖由 "dlcat"]ip是伪造的,如果不是邮件服务器,封端口.[/quote 发表:


    这位说得好

   学习

论坛徽章:
0
9 [报告]
发表于 2004-09-30 23:40 |只看该作者

netstat 后,发现非法登陆者!怎么办!!

1.SMTP是工作在两种情况下:一是电子邮件从客户机传输到服务器;二是从某一个服务器传输到另一个服务器.

  2.SMTP是个请求/响应协议,命令和响应都是基于ASCII文本,并以CR和LF符结束。响应包括一个表示返回状态的三位数字代码.

  3.SMTP在TCP协议25号端口监听连接请求

  4.连接和发送过程:

  a.建立TCP连接

  b.客户端发送HELO命令以标识发件人自己的身份,然后客户端发送MAIL命令

  服务器端正希望以OK作为响应,表明准备接收

  c.客户端发送RCPT命令,以标识该电子邮件的计划接收人,可以有多个RCPT行

  服务器端则表示是否愿意为收件人接受邮件

  d.协商结束,发送邮件,用命令DATA发送


关掉25端口,用hosts.deny,如果不做邮件服务,最好在边界路由上封.而且,既然扫到你这个机器了,应该也扫到其他机器了,相邻IP的服务器也注意一下吧.
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP