Ubuntu 10.04 Server服务器疑似被黑,请大家帮忙看看。

漏洞扫描、网关、防火墙、补丁升级、数据备份和迁移、系统故障排除
回复
Ulinux-Future
帖子: 50
注册时间: 2009-11-23 11:53
来自: 中国江苏省
送出感谢: 0
接收感谢: 0
联系:

Ubuntu 10.04 Server服务器疑似被黑,请大家帮忙看看。

#1

帖子 Ulinux-Future » 2011-04-22 15:51

我的服务器是一台电邮服务器。同时受到该服务器不存在的用户的邮件。我怀疑被黑了。扫描一下端口,发现有可以端口开启

代码: 全选

53 tcp closed domain  reset          
222 tcp closed rsh-spx  reset             
587 tcp closed submission  reset               
4444 tcp closed krb524  reset       
4445 tcp closed unknown  reset       
8081 tcp closed blackice-icecap  reset       
8099 tcp open http  syn-ack Jetty httpd  7.1.6.v20100715  
上述的端口都是什么程序开的?该如何清除?
我用netstat -an 没有看到有可疑的IP连接。

请大家帮帮忙,该如何排查,不胜感激 。
头像
lxr1234
帖子: 721
注册时间: 2009-04-10 11:15
来自: 三民主义国国民权利省我的选择市中共下台镇
送出感谢: 0
接收感谢: 14 次

Re: Ubuntu 10.04 Server服务器疑似被黑,请大家帮忙看看。

#2

帖子 lxr1234 » 2011-04-24 2:28

检测ps程序等监控测序,
如果使用inted,xinted检查配置问题
检测/etc/init.d
强烈反对M$的ARM Secure Boot 锁定要求,大家请签名反对
http://www.fsf.org/campaigns/secure-boo ... cted-boot/
yagamixp
帖子: 15
注册时间: 2007-05-29 11:08
送出感谢: 0
接收感谢: 0

Re: Ubuntu 10.04 Server服务器疑似被黑,请大家帮忙看看。

#3

帖子 yagamixp » 2011-06-04 10:44

看运行结果有几个服务可以被开启,但是就实际情况看只有8099的http服务是开放着的,其它的都是关闭的,你用客户机的浏览器上输入http://host:8099看看是开了什么就会明白了
应该是jetty http服务,应该是开放了一个用java的WEB服务你去确认一下吧
回复

回到 “服务器维护和硬件相关”