作者 主題: 是否被入侵了呢?  (閱讀 9317 次)

0 會員 與 1 訪客 正在閱讀本文。

凱文克萊

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
是否被入侵了呢?
« 於: 2003-02-14 15:06 »
今天公司的網路速度異常緩慢..
連進CISCO ROUTER查看之後發現LINUX主機的流量很大
使得T1的頻寬幾乎要滿載...
這台LINUX主機的主要功能只是在做流量的監控 裝了MRTG & NTOP
但是常發現有很多奇怪的IP位置連到主機的80port
今天發現這個情形...就先將主機關機...然後拔掉網路線
但網路狀況還是沒好轉....從ROUTER看到的結果就是還是有幾個IP持續的
送封包到我LINUX主機的IP位置
難道將主機關機和拔掉網路線還是無法擺脫攻擊嗎?
當我再次遇到這個情形有什麼方法可以因應呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
是否被入侵了呢?
« 回覆 #1 於: 2003-02-14 15:12 »
看起來像是 code red 之類的病毒攻擊。
到 google 找找?

凱文克萊

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #2 於: 2003-02-14 15:24 »
難道LINUX也有類似WINDOWS平台的CODE RED病毒嗎?
還是病毒的感染途徑是不分平台的呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
是否被入侵了呢?
« 回覆 #3 於: 2003-02-14 15:26 »
code red 是採用的是"亂槍打鳥",
管你是 windows 還是 linux ,有開 80 就給你打下去,
打中了中頭彩,打不中也不賠錢。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #4 於: 2003-02-14 16:48 »
用 mod_antihak for apache web server module 去擋
http://phorum.study-area.org/viewtopic.php?t=14921

已安裝 mod_antihak 測試網址

http://siryeh.ath.cx 正常可瀏覽
模擬 code red 病毒進入網址
http://siryeh.ath.cx/scripts/root.exe?/c+dir 立刻阻擋來源 ip 位置
http://siryeh.ath.cx 都進不器囉!

試試看吧!
--
TyroneYeh

bigsun

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #5 於: 2003-02-14 16:50 »
諸位大人:

   照這樣情形看來,接收大量封包的Web Server能夠有何對策,來解決這樣的問題呢?? 請各位先進指點迷津, Thanks!

Best Regards,
Bruce Yang

bigsun

  • 懷疑的國中生
  • **
  • 文章數: 53
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #6 於: 2003-02-14 17:27 »
諸位大人:

請教一下,會員post文章時,時間是參考Client端,還是參考Server上面的時間??由於時間差的關係,我發現TyroneYeh回答問題之後,我對於相關問題又再問了一次,真是好糗,請各位大人指點一下,Thanks!

Best Regards,
Bruce Yang

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #7 於: 2003-02-14 17:30 »
是依照 server 端的時間, 跟按送出時間有關

就是同時在輸入訊息, 誰先按送出誰就排在前面, 這也是要看打字速度!

另外 關於 mod_antihak 如果被 mod_antihak 阻擋後, 可能要手動清除 iptables INPUT 規則, 不然就要等重新開機囉!

所以那個測試 code red 測試網址按下去之後, 會很久都不能連上該網站說, 除非我把規則重新定義了!

我在看看, 有空我就去清一下阻擋規則, 2/17 以前, 多 TRY TRY 吧!
--
TyroneYeh

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #8 於: 2003-02-14 17:37 »
我看我用 crontab 去 10 分鐘去清一次好了, 這樣子應會比較理想!
--
TyroneYeh

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
是否被入侵了呢?
« 回覆 #9 於: 2003-02-14 18:52 »
若有裝過 portsentry ,預設是 6 小時清一次規則。
看 /etc/cron.d/potsentry 就知。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #10 於: 2003-02-14 19:42 »
就算你主機作再強的防護,
甚至把網路線都拔掉,
CodeRed攻擊還是過到Router內來,
那頻寬...還是被吃光了!

像CodeRed這種的攻擊,
最好是越上游來防治效果越好.

凱文克萊

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #11 於: 2003-02-15 10:37 »
很感謝各位大大的解答
我想我會循著上述的方法試試看..
我也很大意..
可能是剛開始使用linux而且也很少聽到關於lnux病毒的訊息
所以忽略了要做此防範..
再請問大大們...
linux中常見的病毒有哪些呢?有類似像趨勢這樣的網站對病毒做介紹嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
是否被入侵了呢?
« 回覆 #12 於: 2003-02-15 21:42 »
我倒先勸您了解一下 user permission 相關的概念,
若您能解釋 SUID 為何物及有何危害。

然後再思考 linux 的病毒若遭一般 user 跑起來,跟用 root 跑起來有何差異?
然後再想想若在 windows 中跑呢?

最後,若你是病毒作者的話,寧願花時間寫 windows 的病毒還是 linux 的病獨呢?

p.s.
virus 與 worm 的差異處在於 "感染" (請從醫學角度來看)。

凱文克萊

  • 可愛的小學生
  • *
  • 文章數: 8
    • 檢視個人資料
是否被入侵了呢?
« 回覆 #13 於: 2003-02-17 09:21 »
謝謝您的提示...
我會先從這方面先去了解的^^"