作者 主題: 請問這樣是不是被駭了?  (閱讀 12100 次)

0 會員 與 1 訪客 正在閱讀本文。

panachen

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
請問這樣是不是被駭了?
« 於: 2002-07-27 06:03 »
因為公司同事收到以自己公司domain發出的spam(有奇怪的username),檢查secure 和messages log發現以下訊息:

Secure:
Jul/24 15:41:28 sshd[19739]:did not receive identification string from 148.223.111.29
Jul/24 15:41:28 xinetd[842]:START:login pid=19740 from 148.223.111.29
Jul/24 16:41:25 sshd[822]:Generating new 768 bit RSA key
Jul/24 16:41:25 sshd[822]:RSA key generation complete

Messages:
Jul/24 15:41:28 rlogind[19740]:Connection from 148.223.111.29 on illegal port

我的linux RedHat 7.1 (kernel 2.4.16)主要是做sendmail和Apache server,開放的port有 22/ssh,80/http,109/pop-2,110/pop-3,111/sunrpc,143/imap2,513/login,1024/kdm,

請問我是不是被駭了?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
請問這樣是不是被駭了?
« 回覆 #1 於: 2002-07-27 11:08 »
查一下 /var/log/secure 或 last 命令,確定該 ssh 連線是否合法。否則,請小心了。

另外,下面這個服務儘量不要對外部網路開放:

111/sunrpc

panachen

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #2 於: 2002-07-27 22:21 »
謝謝netman.

由ntsysv關閉portman, port 111已經關閉,另外在/etc/hosts.allow設定sshd只allow內部網路,hosts.deny則sshd:ALL:deny.

在 /var/log/secure裡,之前可以看到許多這類訊息,

sshd[xxxxx]:did not receive identification string from 200.xxx.xxx.xxx

現在已經看不到了,請問由以下信息可以判斷出是否已經被建立了sshd合法連線嗎?我由nslookup反查148.223.111.29 是個墨西哥的ip.

在/var/log/secure裡
Jul/24 15:41:28 sshd[19739]:did not receive identification string from 148.223.111.29
*****下面這一行相當有嫌疑*****
Jul/24 15:41:28 xinetd[842]:START:login pid=19740 from 148.223.111.29
Jul/24 16:41:25 sshd[822]:Generating new 768 bit RSA key
Jul/24 16:41:25 sshd[822]:RSA key generation complete
.....
在/var/log/messages裡
Jul/24 15:41:28 rlogind[19740]:Connection from 148.223.111.29 on illegal port
.....

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
請問這樣是不是被駭了?
« 回覆 #3 於: 2002-07-27 22:42 »
如果那個連線只是償試而並沒真正建立的話,倒不必太過緊張啦。

panachen

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #4 於: 2002-07-31 06:13 »
謝謝netman.

用last檢查並沒有發現奇怪的user login進入!

hineed

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #5 於: 2002-08-01 19:00 »
請問我如何寄log file給你幫我看一下
有不少IP information??
change the log file name?*.txt可以嗎?
allo

panachen

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #6 於: 2002-08-01 22:09 »
在/var/log/目錄下有檔案messages,secure,wtmp
可以先ftp到Windows,再用attachment寄出,附檔名不需要改txt
如果要知道之前的狀況,最好連附檔名(.1,.2,.3,.4的檔案)一併附上.

hineed

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #7 於: 2002-08-01 22:16 »
引述: "panachen"
在/var/log/目錄下有檔案messages,secure,wtmp
可以先ftp到Windows,再用attachment寄出,附檔名不需要改txt
如果要知道之前的狀況,最好連附檔名(.1,.2,.3,.4的檔案)一併附上.



晚上回去寄給你
allo

panachen

  • 懷疑的國中生
  • **
  • 文章數: 57
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #8 於: 2002-08-03 22:04 »
Email已收到並回覆!

在linux討論版有一篇v-bird兄教學大作,限制 Linux 對外連線的埠口( port number ),寫的非常好,ftp可考慮要用時再啟動,平常最好關起來!

hineed

  • 懷疑的國中生
  • **
  • 文章數: 50
    • 檢視個人資料
請問這樣是不是被駭了?
« 回覆 #9 於: 2002-08-04 01:01 »
該關的都關了
allo