当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
1 楼 
 文章标题 : ubuntu server 被黑了吗 (已经解决)
帖子发表于 : 2010-06-02 16:30 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
snort 不停的发出警告
从我的服务器对外做portscan, 端口25
难道服务器变成别人的肉鸡,正在发垃圾邮件吗?

如下是拷贝自snort

#0-(1-205978) [snort] (portscan) Open Port: 25 2010-06-02 16:22:19 我的服务器的IP 202.69.219.26 Raw IP
#1-(1-205979) [snort] (portscan) Open Port: 25 2010-06-02 16:22:19 我的服务器的IP 147.8.180.6 Raw IP
#2-(1-205974) [snort] (portscan) Open Port: 25 2010-06-02 16:22:18 我的服务器的IP 123.125.50.189 Raw IP
#3-(1-205975) [snort] (portscan) Open Port: 25 2010-06-02 16:22:18 我的服务器的IP 220.181.12.58 Raw IP
#4-(1-205976) [snort] (portscan) Open Port: 25 2010-06-02 16:22:18 我的服务器的IP 66.94.236.34 Raw IP
#5-(1-205977) [snort] (portscan) Open Port: 25 2010-06-02 16:22:18 我的服务器的IP 134.117.1.29 Raw IP


谢谢!


最后由 jdwgb 编辑于 2010-06-03 18:09,总共编辑了 1 次

页首
 用户资料  
 
2 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 16:33 
头像

注册: 2009-10-08 11:15
帖子: 8428
地址: 大城市铁岭
送出感谢: 0 次
接收感谢: 9
2.6.26以下的内核?ssh允许root?


_________________
我们是命运的妓女,它把我们都嫖了

N卡驱动:http://www.nvidia.cn/Download/index.aspx?lang=cn
极品飞车:http://www.geforce.cn/optimize/optimal-game-settings/need-for-speed-shift-geforce-gts-450-ops
孤岛危机优化设置:http://www.geforce.cn/optimize/optimal-game-settings/crysis-geforce-gtx-450-ops
:cp /etc/skel/.bashrc ~/
PS1="\[\e]2;\u@\H \w\a\e[32;1m\]\T$\[\e[0m\] "
http://cdimage.ubuntu.com/
http://releases.ubuntu.com/


页首
 用户资料  
 
3 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 16:43 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
谢谢!

ubuntu server 8.04

主要是做lamp, mailserver,ftp

已经更新到最新, 且root是禁用的,

SSH是需要钥匙key才能登陆的


页首
 用户资料  
 
4 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 16:50 
头像

注册: 2009-10-08 11:15
帖子: 8428
地址: 大城市铁岭
送出感谢: 0 次
接收感谢: 9
去hack网看看有什么新漏洞
http://www.sitedir.com.cn/
http://sebug.net/vuldb/page/2/0/


_________________
我们是命运的妓女,它把我们都嫖了

N卡驱动:http://www.nvidia.cn/Download/index.aspx?lang=cn
极品飞车:http://www.geforce.cn/optimize/optimal-game-settings/need-for-speed-shift-geforce-gts-450-ops
孤岛危机优化设置:http://www.geforce.cn/optimize/optimal-game-settings/crysis-geforce-gtx-450-ops
:cp /etc/skel/.bashrc ~/
PS1="\[\e]2;\u@\H \w\a\e[32;1m\]\T$\[\e[0m\] "
http://cdimage.ubuntu.com/
http://releases.ubuntu.com/


最后由 黄美姬 编辑于 2010-06-02 16:56,总共编辑了 1 次

页首
 用户资料  
 
5 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 16:53 
头像

注册: 2008-10-18 12:41
帖子: 1339
送出感谢: 0 次
接收感谢: 0 次
看下mailserver日志


_________________
Server@Linux:~#


页首
 用户资料  
 
6 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 17:16 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
木泥黑 写道:
看下mailserver日志

都打不开
好奇怪

我 sudo vim /var/log/mail.info 或 mail.log
都打不开, 好像SSH死掉了一样,不动了
关闭后,重新进SSH
打开 /var/log/mail.err 发现全是奇怪的错误, 如下

Jun 2 17:10:19 www postfix/bounce[27815]: fatal: lock file defer 2C7FFA2C0C4: Resource temporarily unavailable
Jun 2 17:10:24 www postfix/bounce[27761]: fatal: lock file defer 2C7FFA2C0C4: Resource temporarily unavailable
Jun 2 17:10:24 www postfix/bounce[27730]: fatal: lock file defer 23D0DA2C043: Resource temporarily unavailable
Jun 2 17:10:24 www postfix/bounce[27670]: fatal: lock file defer 23D0DA2C043: Resource temporarily unavailable
Jun 2 17:10:24 www postfix/bounce[27774]: fatal: lock file defer 2C7FFA2C0C4: Resource temporarily unavailable
Jun 2 17:10:24 www postfix/bounce[27743]: fatal: lock file defer 2C7FFA2C0C4: Resource temporarily unavailable


页首
 用户资料  
 
7 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 17:22 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
黄美姬 写道:


服务器每天都更新,应该不会有太大的问题吧

我都是按照 ubuntu server 最佳方案中的内容做的, 除了ftp是改用的vsftpd之外


页首
 用户资料  
 
8 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 17:26 
头像

注册: 2008-10-18 12:41
帖子: 1339
送出感谢: 0 次
接收感谢: 0 次
可能被当做垃圾邮件服务器了,发送太多邮件,造成process_limit并发太大,CPU内存资源占用过高


_________________
Server@Linux:~#


页首
 用户资料  
 
9 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 18:41 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
那该怎么办呢?
我的Nagios不停的发邮件警告我,如下


***** Nagios *****

Notification Type: PROBLEM

Service: Total Processes
Host: localhost
Address: 127.0.0.1
State: WARNING

Date/Time: Wed Jun 2 17:30:17 CST 2010

Additional Info:

PROCS WARNING: 251 processes

八成变成肉鸡了,如何解决呢?

大侠帮帮我


页首
 用户资料  
 
10 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 19:14 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
sudo rkhunter --check
发现以下警告

/usr/bin/dpkg [ Warning ]
/usr/bin/dpkg-query [ Warning ]
/usr/bin/ldd [ Warning ]
/usr/bin/sudo [ Warning ]
Checking for hidden files and directories [ Warning ]
Checking version of OpenSSL [ Warning ]
Checking version of PHP [ Warning ]
Checking version of OpenSSH [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 125
Suspect files: 4

Rootkit checks...
Rootkits checked : 110
Possible rootkits: 0

Applications checks...
Applications checked: 4
Suspect applications: 3

打开 /var/log/rkhunter.log 发现如下

[19:02:38] /usr/bin/dpkg [ Warning ]
[19:02:38] Warning: The file properties have changed:
[19:02:38] File: /usr/bin/dpkg
[19:02:38] Current hash: 4a17f5201358ef80444d16dd6d86a29f9115411d
[19:02:38] Stored hash : 3ec47072343c8886120c1437e878cefbb914b262
[19:02:38] Current inode: 11294406 Stored inode: 11289657
[19:02:38] Current file modification time: 1268272254
[19:02:38] Stored file modification time : 1212183645
[19:02:38] /usr/bin/dpkg-query [ Warning ]
[19:02:38] Warning: The file properties have changed:
[19:02:38] File: /usr/bin/dpkg-query
[19:02:38] Current hash: cecf9ca78f21ca57d15fc3b5a5bbe23fddac4e96
[19:02:38] Stored hash : 0f2d1227f81a49f437c686f3ec4e9d4fb06255fc
[19:02:38] Current inode: 11294408 Stored inode: 11289659
[19:02:38] Current file modification time: 1268272254
[19:02:38] Stored file modification time : 1212183645

[19:02:39] /usr/bin/ldd [ Warning ]
[19:02:39] Warning: The file properties have changed:
[19:02:39] File: /usr/bin/ldd
[19:02:39] Current inode: 11294569 Stored inode: 11293282
[19:02:39] Current file modification time: 1274462089
[19:02:39] Stored file modification time : 1250554301
[19:02:39] Info: Found file '/usr/bin/ldd': it is whitelisted for the 'script replacement' check.


[19:02:41] /usr/bin/sudo [ Warning ]
[19:02:41] Warning: The file properties have changed:
[19:02:41] File: /usr/bin/sudo
[19:02:41] Current hash: 54b2484b4a9c48a8c40749fac8e647112716e778
[19:02:41] Stored hash : 2641c0f9af7fb688976a000e3746ce143a4930db
[19:02:41] Current inode: 11289606 Stored inode: 11291018
[19:02:41] Current size: 122880 Stored size: 122752
[19:02:41] Current file modification time: 1271275960
[19:02:41] Stored file modification time : 1248867042

[19:05:06] Checking for hidden files and directories [ Warning ]
[19:05:06] Warning: Hidden directory found: /dev/.static
[19:05:06] Warning: Hidden directory found: /dev/.udev
[19:05:06] Warning: Hidden directory found: /dev/.initramfs

[19:05:07] Checking version of OpenSSL [ Warning ]
[19:05:07] Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.
[19:05:07] Checking version of PHP [ Warning ]
[19:05:07] Warning: Application 'php', version '5.2.4', is out of date, and possibly a security risk.
[19:05:07] Info: Application 'procmail' not found.
[19:05:07] Info: Application 'proftpd' not found.
[19:05:07] Checking version of OpenSSH [ Warning ]
[19:05:07] Warning: Application 'sshd', version '4.7p1', is out of date, and possibly a security risk.


页首
 用户资料  
 
11 楼 
 文章标题 : Re: ubuntu server 被黑了吗
帖子发表于 : 2010-06-02 19:57 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
终于看到postfix的日志了,的确在不停的发邮件,mail.log如下

Jun 2 19:17:27 www last message repeated 13 times记录
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<lisajane6@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<lkk7351@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<lkk_1115@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<llph1932@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<lo938673685@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)
Jun 2 19:17:27 www postfix/smtp[10911]: 01761A2C047: to=<love001707@yahoo.com.tw>, relay=mx2.mail.tw.yahoo.com[203.188.197.10]:25, delay=37225, delays=37204/16/0.16/3.9, dsn=2.0.0, status=sent (250 ok dirdel 21/9)

而且是24小时不停的发,发了一个多月了


页首
 用户资料  
 
12 楼 
 文章标题 : Re: ubuntu server 被黑了吗 (已经解决)
帖子发表于 : 2010-06-03 18:11 

注册: 2007-10-16 9:36
帖子: 218
送出感谢: 0 次
接收感谢: 0 次
原来是一场误会 :em06


页首
 用户资料  
 
13 楼 
 文章标题 : Re: ubuntu server 被黑了吗 (已经解决)
帖子发表于 : 2010-06-04 11:53 
头像

注册: 2008-12-16 14:01
帖子: 1110
地址: 漂在江湖
送出感谢: 13
接收感谢: 13
jdwgb 写道:
原来是一场误会 :em06

说说明白


页首
 用户资料  
 
14 楼 
 文章标题 : Re: ubuntu server 被黑了吗 (已经解决)
帖子发表于 : 2010-06-04 12:07 
头像

注册: 2008-10-18 12:41
帖子: 1339
送出感谢: 0 次
接收感谢: 0 次
jdwgb 写道:
原来是一场误会 :em06


说清楚一点呀


_________________
Server@Linux:~#


页首
 用户资料  
 
15 楼 
 文章标题 : Re: ubuntu server 被黑了吗 (已经解决)
帖子发表于 : 2010-06-04 12:08 
头像

注册: 2009-12-04 13:29
帖子: 1145
送出感谢: 2
接收感谢: 0 次
什么情况啊


_________________
关注和奉献Tianjin Linux User Group的建设,热心参与开源社区,Linux爱好者,python初学者,希望成为一名geek,求交流求指导

我知道发QQ群是不对的。。。可是:Linux天津qq群104029520 73809331,终有一天会没有QQ的。。

Blog:http://www.freetstar.com //欢迎
twitter:https://twitter.com/freetstar


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译