今天服务器挂了n次。。，看iptables被更改.请版主等高手们帮忙

枫影谁用了

上午服务器受到了大量的imcp攻击 ！我用iptraf监视到了大量的imcp攻击！内网的特别严重！现在已经查出内网的病毒，也把那些关杀毒了！服务器已恢复正常！
上午在遭攻击时，我用iptables看到了一些很奇怪的参数，很明显，我的防火墙被 更改，是谁有这样的手段？
[root@localhost root]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere           multiport dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,http,ftp,domain,pop3,smtp
ACCEPT     udp  --  anywhere             anywhere           multiport dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ftp,domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere           multiport dports pop3,http,smtp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Lokkit-0-50-INPUT (0 references)
target     prot opt source               destination
[root@localhost root]#  

现在这样是正常的！但是在攻击期间，在
Chain RH-Lokkit-0-50-INPUT (0 references)
target     prot opt source               destination
上面被 加了一个ip而且 是特别放行的！不明白这是怎么加上去的！是谁有这样的能耐？？？？先前我的iptables规则 里内网是无条件放行的！难道就是因为这个，内网就有权限改iptables???????????????现在我把内网也禁了！只开了一些对应的端口

ayazero

用我写的那个脚本跑了自己看看有没有什么异常吧

platinum

估计是弱密码或者利用 http(php) 的漏洞做了后门

枫影谁用了

[quote]原帖由 "ayazero"]用我写的那个脚本跑了自己看看有没有什么异常吧[/quote 发表：



非常感谢你的回复！我现在用的脚本！请指教！
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 135,136,137,138,139,445,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 135,136,137,138,139,445,21,53 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

还有一些封qq的脚 本我没有贴出来！

枫影谁用了

[quote]原帖由 "ayazero"]用我写的那个脚本跑了自己看看有没有什么异常吧[/quote 发表：


你写的脚本在那里？？

platinum

iptables -A INPUT -i eth1 -p tcp -m multiport --dports 135,136,137,138,139,445,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 135,136,137,138,139,445,21,53 -j ACCEPT

这个目的是什么？

枫影谁用了

原帖由 "platinum" 发表：
iptables -A INPUT -i eth1 -p tcp -m multiport --dports 135,136,137,138,139,445,80,21,53,110,25 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 135,136,137,138,139,445,21,53 -j ACCEP..........

是允许 内网的ip访问服务器的这些端口！其他的不允许！说明一下eth1是接内网的！
问一下，你认为这个有问题吗？

platinum

1、贴出 iptables-save 的内容，要全部，帮你看看有什么问题
2、给 icmp 设置一个允许阀值，不要随便允许
3、有可能不是死机，而是 CPU 过载，当你再发现死机的时候，拔掉网线看能否恢复正常

枫影谁用了

原帖由 "platinum" 发表：
1、贴出 iptables-save 的内容，要全部，帮你看看有什么问题
2、给 icmp 设置一个允许阀值，不要随便允许
3、有可能不是死机，而是 CPU 过载，当你再发现死机的时候，拔掉网线看能否恢复正常

给icmp设定值要怎么设定？
[root@localhost root]# iptables-save
# Generated by iptables-save v1.2.7a on Mon Aug 15 17:02:45 2005
*nat
REROUTING ACCEPT [79169909]
OSTROUTING ACCEPT [5273]
:OUTPUT ACCEPT [5273]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 443 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 443 -j DROP
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.20 -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.20 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon Aug 15 17:02:45 2005
# Generated by iptables-save v1.2.7a on Mon Aug 15 17:02:45 2005
*filter
:INPUT DROP [3907]
:FORWARD ACCEPT [12602429]
:OUTPUT ACCEPT [79787]
:RH-Lokkit-0-50-INPUT - [0]
-A INPUT -s 192.168.0.50 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,http,ftp,domain,pop3,smtp -j ACCEPT
-A INPUT -i eth1 -p udp -m multiport --dports 135,136,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds,ftp,domain -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p 47 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m multiport --dports pop3,http,smtp -j ACCEPT
-A FORWARD -s 192.168.0.50 -j ACCEPT
-A FORWARD -d 218.18.95.220 -j DROP
-A FORWARD -d 219.133.38.230 -j DROP
-A FORWARD -d 219.133.38.5 -j DROP
-A FORWARD -d 219.133.49.5 -j DROP
-A FORWARD -d 218.17.209.42 -j DROP
-A FORWARD -d 61.144.238.149 -j DROP
-A FORWARD -d 61.144.238.145 -j DROP
-A FORWARD -d 61.144.238.146 -j DROP
-A FORWARD -d 61.144.238.156 -j DROP
-A FORWARD -d 61.144.238.150 -j DROP
-A FORWARD -d 202.104.129.251 -j DROP
-A FORWARD -d 202.104.129.254 -j DROP
-A FORWARD -d 202.104.129.252 -j DROP
-A FORWARD -d 202.104.129.253 -j DROP
-A FORWARD -d 61.141.194.203 -j DROP
-A FORWARD -d 202.96.170.166 -j DROP
-A FORWARD -d 218.18.95.221 -j DROP
-A FORWARD -d 219.133.45.15 -j DROP
-A FORWARD -d 61.141.194.200 -j DROP
-A FORWARD -d 61.141.194.224 -j DROP
-A FORWARD -d 202.96.170.164 -j DROP
-A FORWARD -d 202.96.170.163 -j DROP
-A FORWARD -d 219.133.40.216 -j DROP
-A FORWARD -d 218.18.95.209 -j DROP
-A FORWARD -d 61.141.194.227 -j DROP
-A FORWARD -d 218.18.95.171 -j DROP
-A FORWARD -d 218.18.95.221 -j DROP
-A FORWARD -d 219.133.38.31 -j DROP
-A FORWARD -d 218.18.95.165 -j DROP
-A FORWARD -d 202.96.170.188 -j DROP
-A FORWARD -d 202.104.129.246 -j DROP
-A FORWARD -d 61.144.238.137 -j DROP
-A FORWARD -d 202.96.170.175 -j DROP
-A FORWARD -d 202.103.190.61 -j DROP
-A FORWARD -d 202.103.149.40 -j DROP
-A FORWARD -d 218.18.95.140 -j DROP
-A FORWARD -d 218.18.95.153 -j DROP
-A FORWARD -d 61.135.131.240 -j DROP
-A FORWARD -d 216.239.33.99 -j DROP
-A FORWARD -d 218.17.209.23 -j DROP
-A FORWARD -d 202.104.129.251 -j DROP
-A FORWARD -d 219.133.49.74 -j DROP
-A FORWARD -d 219.133.49.8 -j DROP
-A FORWARD -d 219.133.49.7 -j DROP
-A FORWARD -d 202.96.170.164 -j DROP
-A FORWARD -d 202.96.170.165 -j DROP
-A FORWARD -d 202.96.170.175 -j DROP
-A FORWARD -d 202.96.170.188 -j DROP
-A FORWARD -d 61.135.131.240 -j DROP
-A FORWARD -d 61.141.194.203 -j DROP
-A FORWARD -d 61.141.194.231 -j DROP
-A FORWARD -d 61.141.194.224 -j DROP
-A FORWARD -d 218.18.95.165 -j DROP
-A FORWARD -d 219.133.40.15 -j DROP
-A FORWARD -d 61.144.238.137 -j DROP
-A FORWARD -d 61.144.238.145 -j DROP
-A FORWARD -d 61.144.238.146 -j DROP
-A FORWARD -d 61.144.238.150 -j DROP
-A FORWARD -d 61.144.238.151 -j DROP
-A FORWARD -d 202.104.129.254 -j DROP
-A FORWARD -d 202.104.129.252 -j DROP
-A FORWARD -d 202.104.129.253 -j DROP
-A FORWARD -d 202.104.129.251 -j DROP
-A FORWARD -d 202.104.129.242 -j DROP
-A FORWARD -d 202.104.129.246 -j DROP
-A FORWARD -d 202.103.190.61 -j DROP
-A FORWARD -d 218.18.95.165 -j DROP
-A FORWARD -d 218.18.95.153 -j DROP
-A FORWARD -d 218.17.217.103 -j DROP
-A FORWARD -d 218.17.209.42 -j DROP
-A OUTPUT -s 192.168.0.50 -j ACCEPT
COMMIT
# Completed on Mon Aug 15 17:02:45 2005
[root@localhost root]#

bigcat_00

Chain RH-Lokkit-0-50-INPUT (0 references)
target     prot opt source               destination

这是RH自定义的一个链，把INPUT的数据包重新在这个链里处理，不晓得目的是啥…………你把iptables服务停了这个链就会消失掉。