作者 主題: 請問我是被入侵了嗎?  (閱讀 2212 次)

0 會員 與 1 訪客 正在閱讀本文。

kenji

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
    • http://xwav.adsldns.org/KJBB
請問我是被入侵了嗎?
« 於: 2002-11-07 22:22 »
我伺服器的狀態:
我用 CLE APT RH7.3 架好了一個伺服器, 裡面服務的項目有,
http
smtp
imap
pop2
pop3
ssh
postgres
81 - > 偶寫的聊天伺服器 ~.~
6802 -> 好像和 Resin 有關  ...不清楚 ... @@


最近觀查主機時, 無意間發現多開了一個 798  的接埠, 但是以前好像都沒有說
, 觀查得結果好像都沒有 IP 去連接這個 port , 只是最近收 Mail 時會收到附加檔為
README.EXE 的檔案, 但其怪的是是由我的主機發出來的, 會是我的 Linux 被
入侵了ㄇ .. ~.~
對了. 我的 SMTP 有設需要驗證的


Samba 是不是很容易被人入侵呢, 雖然我有設 smb.conf 裡的一段
hosts allow = 192.168.1. 127.
但是我打 netstat -a 總是會有人掛在上面,  看 log 檔時是都被回絕了
但還是很可怕 ... @@"



我是新手 ... 我叫 Kenji ... 大家好 .. (好像有點台客的感覺) ...
第一次來到這裡發言 ... 希望大家給予指教 ... thx ^^



其怪的 PORT 798



病毒郵件

victortung

  • 可愛的小學生
  • *
  • 文章數: 22
    • 檢視個人資料
Re: 請問我是被入侵了嗎?
« 回覆 #1 於: 2002-11-11 01:08 »
引述: "kenji"
我伺服器的狀態:
我用 CLE APT RH7.3 架好了一個伺服器, 裡面服務的項目有,
http
smtp
imap
pop2
pop3
ssh
postgres
81 - > 偶寫的聊天伺服器 ~.~
6802 -> 好像和 Resin 有關  ...不清楚 ... @@


最近觀查主機時, 無意間發現多開了一個 798  的接埠, 但是以前好像都沒有說
, 觀查得結果好像都沒有 IP 去連接這個 port , 只是最近收 Mail 時會收到附加檔為
README.EXE 的檔案, 但其怪的是是由我的主機發出來的, 會是我的 Linux 被
入侵了ㄇ .. ~.~
對了. 我的 SMTP 有設需要驗證的


Samba 是不是很容易被人入侵呢, 雖然我有設 smb.conf 裡的一段
hosts allow = 192.168.1. 127.
但是我打 netstat -a 總是會有人掛在上面,  看 log 檔時是都被回絕了
但還是很可怕 ... @@"



我是新手 ... 我叫 Kenji ... 大家好 .. (好像有點台客的感覺) ...
第一次來到這裡發言 ... 希望大家給予指教 ... thx ^^



其怪的 PORT 798



病毒郵件


lsof |grep 798 看看是什麼東西佔用了 UDP 798 PORT

信件 那個是病毒信 應該是不用管他啦

samba 你設定了使用網域 應該是不會有問題 怕哪用 IPTABLES 幫你防護

kenji

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
    • http://xwav.adsldns.org/KJBB
請問我是被入侵了嗎?
« 回覆 #2 於: 2002-11-12 12:15 »
我查出來了, 那個 798 是 xinetd 所執行的, 每次執行 xinetd 時他的 port 都會不一樣.


在這邊謝謝你喔 ... ^^

Frankie

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
請問我是被入侵了嗎?
« 回覆 #3 於: 2002-11-21 17:24 »
!!Samba 是不是很容易被人入侵呢, 雖然我有設 smb.conf 裡的一段
hosts allow = 192.168.1. 127.
但是我打 netstat -a 總是會有人掛在上面, 看 log 檔時是都被回絕了
但還是很可怕 ... @@" !!

如果不放心用iptables 把它由對外網路連進來的port 139的封包drop掉