作者 主題: 這是被入侵嗎?  (閱讀 17280 次)

0 會員 與 1 訪客 正在閱讀本文。

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 於: 2001-09-27 23:36 »
he original message was received at Fri, 7 Sep 2001 23:45:38 +0800 (CST)
from nobody@localhost

  ----- The following addresses had permanent fatal errors -----
shiue6@ms58.hient.net
   (reason: 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1))

  ----- Transcript of session follows -----
... while talking to leone.domainia.co.uk.:
>>> RCPT To:
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
550 5.1.1 shiue6@ms58.hient.net... User unknown

Reporting-MTA: dns; http://www.kclai.idv.tw
Arrival-Date: Fri, 7 Sep 2001 23:45:38 +0800 (CST)

Final-Recipient: RFC822; shiue6@ms58.hient.net
Action: failed
Status: 5.1.3
Remote-MTA: DNS; leone.domainia.co.uk
Diagnostic-Code: SMTP; 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Last-Attempt-Date: Fri, 7 Sep 2001 23:45:44 +0800 (CST)

之前一直發現有外國人在試我的匿名FTP,把不必要的服務與帳號都關了之後,也安靜了一陣子,後來發現多了一個帳號niv,查了連線紀錄得知是從以色列來的,他修改了我的telnetd,放了木馬進去,我不會解所以把他停掉改用SSH,最近又發現常會退信,因為家裡主機都是自己偶而玩玩php用的,頂多是裡面的NUKE PHORUM會寄信而已,結果發現上面內容,我知道使用者信箱拼錯了,但是看起來十分詭異,煩請
各位前輩請幫我看看有沒有問題,謝謝!

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #1 於: 2001-09-28 10:16 »
如果你曾經被入侵過,我還是建議你把整個系統重新建置一次。
因為通常駭客不會只留一個後門給自己。

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #2 於: 2001-09-28 11:29 »
-----------------------------------------------------------------------
.bash_history
-----------------------------------------------------------------------
w
ls
gcc -o d telnetd.c
./d 211.75.15.210
./d 211.75.139.188
./d 211.75.235.181
fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:69/telnetd.patch.v1.1
dir
ls
patch -p > /home/niv/patch
patch -p < /home/niv/patch
mv patch telnetd.patch.v1.1
patch -p < /home/niv/telnetd.patch.v1.1
-----------------------------------------------------------------------
telnetd.c
-----------------------------------------------------------------------
/* 7350854 - x86/bsd telnetd remote root exploit
 *
 * TESO CONFIDENTIAL - SOURCE MATERIALS
 *
 * This is unpublished proprietary source code of TESO Security.
 *
 * The contents of these coded instructions, statements and computer
 * programs may not be disclosed to third parties, copied or duplicated in
 * any form, in whole or in part, without the prior written permission of
 * TESO Security. This includes especially the Bugtraq mailing list, the
 * http://www.hack.co.za website and any public exploit archive.
 *
 * (C) COPYRIGHT TESO Security, 2001
 * All Rights Reserved
 *
 *****************************************************************************
 * bug found by scut 2001/06/09
 * further research by smiler, zip, lorian and me.
 * thanks to zip's cool friend for giving me a testbed to play on
 *
 * tested against: BSDI BSD/OS 4.1
 *                 NetBSD 1.5
 *                 FreeBSD 3.1
 *                 FreeBSD 4.0-REL
 *                 FreeBSD 4.2-REL
 *                 FreeBSD 4.3-BETA
 *                 FreeBSD 4.3-STABLE
 *                 FreeBSD 4.3-RELEASE
 *
 */

-----------------------------------------------------------------------
telnetd.c
-----------------------------------------------------------------------
www:/home/niv$ ./d
7350854 - x86/bsd telnetd remote root
by zip, lorian, smiler and scut.

usage: ./d [-n ] [-c] [-f]

-n num  number of populators, for testing purposes
-c      check exploitability only, do not exploit
-f      force mode, override check results

WARNING: this is no easy exploit, we have to get things tightly aligned and
send 16/34mb of traffic to the remote telnet daemon. it might not be able to
take that, or it will take very long for it (> 1h). beware.

tested: FreeBSD 3.1, 4.0-REL, 4.2-REL, 4.3-BETA, 4.3-STABLE, 4.3-RELEASE
        NetBSD 1.5
        BSDI BSD/OS 4.1

www:/home/niv$ ./d 211.75.15.210
7350854 - x86/bsd telnetd remote root
by zip, lorian, smiler and scut.

check: FAILED
aborting
www:/home/niv$ ./d 211.75.235.181
7350854 - x86/bsd telnetd remote root
by zip, lorian, smiler and scut.

check: PASSED, using 16mb mode

#############################################################################

ok baby, times are rough, we send 16mb traffic to the remote
telnet daemon process, it will spill badly. but then, there is no
other way, sorry...

## setting populators to populate heap address space
## number of setenvs (dots / network): 31500
## number of walks (percentage / cpu): 496140750
##
## the percentage is more realistic than the dots :wink:

percent |--------------------------------------------------------|      ETA |
  0.00% |.                                                       | --:--:-- |

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #3 於: 2001-09-28 11:33 »
同理吧?
今天他完成第一階段的入侵,沒有理由不留個以後更方便的方式讓自己以後可以在進入啊!

你今天以經有 niv 這個帳號很明顯是以經被入侵過,難道你有辦法確定他完全不留其它後門嗎?

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #4 於: 2001-09-28 11:44 »
梁大哥,小弟同意您的方法,我會將他重新安裝,但是擔心的是,萬一重新安裝之後,又有不死心的駭客又來了怎辦呢?

就目前來講,我現在應該安裝FreeBSD 4.3-RELEASE版吧,那裝好之後,再安裝我需要的apache+php+mysql and nat,那另外需要更換哪些軟體,還有加強哪些措施,減少被入侵的機率呢?

firewall + tcp_wrapper ?
wu-ftp -> pro-ftp , sendmail & named update , telnetd patch or use ssh 還有什麼要注意呢? 謝謝您! 另外關於MRTG的問題是否在這邊貼,還是到網路問題那邊呢?

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #5 於: 2001-09-28 11:51 »
照你目前這個部份,最大的漏洞是telnet,既然你可以接受用ssh,那就不需要擔心這個部份。

FreeBSD內定的Sendmail 恐有安全性的問題,我建議你移除後安裝最新的版本。

至於NAT的部份,我個人反而會比較希望你買個便宜的ip_share,弁銃妞K到單純到只有NAT,沒得轉port的話自然也比較不會有問題,當然,這是我個人的偏見,不見得正確。

FireWall + TCP_Wrapper 當然是有必要,但是老實說這二個是我個人的大弱項  f^^,就不提供建議了。

在接著就是services port,把自己看不懂不認識的關掉,不認識看不懂的就是表示你目前沒有在用的服務,那實在就不需要開起來增加人家進來逛街的機會了...。

以上是個人淺見... 。

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #6 於: 2001-09-28 12:06 »
>照你目前這個部份,最大的漏洞是telnet,既然你可以接受用ssh,那就不需要擔心這個部份。
那停用telnet的話是在inet中把他mark掉就好了嗎?

> 至於NAT的部份,我個人反而會比較希望你買個便宜的ip_share,弁銃妞K到單純到只有NAT,沒得轉port的話自然也比較不會有問題,當然,這是我個人的偏見,不見得正確。

我現在是用Hinet 512/64 固接單ip,若用那種產品,不知道還可不可以架伺服器對外服務呢,因為目前好像可以轉送 post的產品好像$$有點多

> FireWall + TCP_Wrapper
> 當然是有必要,但是老實說這二個是我個人的大弱項
> f^^,就不提供建議了。
freebsd.lab.mlc.edu.tw 的 Tim 老師那邊有資料可以參考 :razz:
> 在接著就是services
> port,把自己看不懂不認識的關掉,不認識看不懂的就是表示你目前沒有在用的服務,那實在就不需要開起來增加人家進來逛街的機會了...。

嗯,我有用nmap測過,那請問像固接單ip的adsl小烏龜,他應該是橋接式吧,那snmp似乎只能測到路由模式的小烏龜,那我嘗試測自己的localhost,也都抓不到啥資料,真傷腦筋ㄝ >.< "

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #7 於: 2001-09-28 12:20 »
把 /etc/services 拿掉
/stand/sysinstall 把port的部份拿掉...

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #8 於: 2001-09-28 12:43 »
這個是意思是不是把他使用的通道關閉,讓它無法跟外界溝通,那至於程式存在以及啟動與否就比較沒關係?但是看裡面有一大堆通道沒關,該不會叫我全部把它們mark掉吧,小弟是從namp上面看看目前開啟的通道有哪些,再判斷哪些通道非必要再去關,而其他通道既然沒使用,應該不用關,不知道小弟這樣做對不對呢

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #9 於: 2001-09-28 16:10 »
要讓services停止服務,你本身的程式當然是不能啟動的,services實際上只是把inetd的服務關掉,像是比如我的apache 是使用ServerType standalone的方式啟動,那就一定也要把apache的程式關掉。...

以下開始是我的觀念,如果有誤請大家糾正一下:
inetd 其實主要是做前導程序。
services 來控制是否將port開啟
    若有 -> 以inetd.conf 的前導程式處理
    若無 -> 拒絕連線

但若是程式本身就監控自己要用的port,那修改srevices跟inetd.conf,自然就沒有什麼用處了!

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #10 於: 2001-09-30 01:17 »
關於紅豆餅兄的問題, 個人的建議如下...

1. Reinstall system...
2. Patch known bug...
3. 如果非必要, 不要開 telnetd, 改用 ssh!
4. 在 firewall rule 裡增加特定的 rule 去擋對外的部份! 如果不夠再加入 tcp_wrapper 之類的程式補強...
弟是覺得不一定要花錢去買硬體, 既然那台 server 都在做 firewall 了, 不如趁這個機會把它搞熟一點, 難得的實作經驗! 如果真的要花, 就要花在刀口上, 買個弁鉊

ps. 純個人意見, 歡迎更好的 solution ! :->

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #11 於: 2001-11-16 22:32 »
大雄大大:

如果今天這個SERVER非得使用telnetd呢 ???那該怎麼辦
小弟日前有一台BBS SERVER被入侵
這台SERVER是位於防火牆內(server gate)
但卻還是被入侵成

不知道大大可不可以給小弟一些建議呢
例如在防火牆軟體方面我該如何加強???

謝謝

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #12 於: 2001-11-17 00:08 »
1. 升級你的telnetd:較舊版本的telnet有bug,應該更新。
2. telnet跟ssh最大的差異是在於telnet是明碼傳輸,所以你的bbs只要帳號、密碼不要跟你系統帳號一樣就好了。

...

  • 酷學園旁聽生
  • 俺是博士!
  • *****
  • 文章數: 5607
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #13 於: 2001-12-17 17:46 »
看樣子它有一個帳號可用應該是用telnet uncode漏洞....FREEBSD 4.4之前版本都有這BUG
1.它又在你電腦上編譯了個檔案TELNET程式吧(沒仔細看)
2.設定了環境變數方便它使用
3.又對另外兩台主機作入侵最下面那台被入侵成
建議你看看使用者LOG與DNS反查有防火牆紀錄也全都備份起來.
就算你用SSH 它還是會進來...TELNET UNCODE 換4.4BSD TELNET程式較新沒問題在加+SSH 免的它換偷你的封包...簡單說就是你的TELNET有BUG又沒加密
還有我推測它不會是外國人它是跳去國外的Proxy再來駭你!
(看樣子它有點笨還被抓包)

neolai

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
    • http://dns.kclai.idv.tw
這是被入侵嗎?
« 回覆 #14 於: 2002-01-18 19:51 »
各位大大,我是之前那位受害者紅豆餅啦,今天在搜尋引擎上面看到自己以前的IP赫然在駭客戰果清單上面,果然是被外國人做的,telnetd溢位的問題.心情真是鬱卒,還好後來有抓到他.

現在搬了個家,ADSL從Hinet換成Giga,FreeBSD 4.2 -> 4.4 , telnetd -> sshd, wu-ftpd -> proftpd ,唯一不變的是駭客還是喜歡試我的主機,我真的不知道該怎樣處理,難道看到非.com .net .org or .tw 的全部拒絕調,或是主機全部PORT關掉只留 80 / 3306 / 22 ,MAIL 捨棄自己家不用改租黑心網路郵件商....

現在我只開 WWW FTP SMTP POP3 DNS 這樣結果還是會被依堆人try....

大部分都是一些外國人,我要怎樣才能夠杜絕後患,每天都是看一些怵目驚心的訊息,雖然都是deny但是總有一天總會被攻破吧

真想丟掉伺服器,改買硬體的NAT分享器..

Jan  9 01:21:55 dns /usr/local/sbin/named[195]: starting BIND 9.1.3 -c /etc/name
db/named.conf
Jan  9 01:21:55 dns /usr/local/sbin/named[195]: the default for the 'auth-nxdoma
in' option is now 'no'
Jan  9 01:22:36 dns lpd[222]: lpd startup: logging=0
Jan  9 01:22:42 dns proftpd[328]: dns.kclai.idv.tw - ProFTPD 1.2.4 (release) (bu
ilt Ven 4 Gen 2002 00:20:02 CST) standalone mode STARTUP
Jan  9 10:45:52 dns proftpd[1249]: dns.kclai.idv.tw (211.106.89.10[211.106.89.10
]) - no such user 'anonymous'
Jan  9 10:45:52 dns last message repeated 4 times
Jan  9 10:45:52 dns proftpd[1249]: dns.kclai.idv.tw (211.106.89.10[211.106.89.10
]) - USER anonymous: no such user found from 211.106.89.10 [211.106.89.10] to 20
3.204.174.29:21
Jan 10 05:27:51 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - no such user 'anonymous@ftp.microsoft.com'
Jan 10 05:27:51 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - no such user 'anonymous@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - no such user 'anonymous@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - no such user 'anonymous@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - no such user 'anonymous@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wan
adoo.fr[80.13.58.73]) - USER anonymous@ftp.microsoft.com: no such user found fro
m ANeuilly-105-1-3-73.abo.wanadoo.fr [80.13.58.73] to 203.204.174.29:21
75%in' option is now 'no'
Jan  9 01:22:36 dns lpd[222]: lpd startup: logging=0
Jan  9 01:22:42 dns proftpd[328]: dns.kclai.idv.tw - ProFTPD 1.2.4 (release) (built Ven 4 Gen 2002 00:20:02 CST) standalone m
ode STARTUP
Jan  9 10:45:52 dns proftpd[1249]: dns.kclai.idv.tw (211.106.89.10[211.106.89.10]) - no such user 'anonymous'
Jan  9 10:45:52 dns last message repeated 4 times
Jan  9 10:45:52 dns proftpd[1249]: dns.kclai.idv.tw (211.106.89.10[211.106.89.10]) - USER anonymous: no such user found from
211.106.89.10 [211.106.89.10] to 203.204.174.29:21
Jan 10 05:27:51 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us@ftp.microsoft.com'
Jan 10 05:27:51 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us@ftp.microsoft.com'
Jan 10 05:27:54 dns proftpd[2513]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - USER anonymous@ftp.mi
crosoft.com: no such user found from ANeuilly-105-1-3-73.abo.wanadoo.fr [80.13.58.73] to 203.204.174.29:21
Jan 10 06:33:03 dns proftpd[2561]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - no such user 'anonymo
us'
Jan 10 06:33:04 dns last message repeated 4 times
Jan 10 06:33:04 dns proftpd[2561]: dns.kclai.idv.tw (ANeuilly-105-1-3-73.abo.wanadoo.fr[80.13.58.73]) - USER anonymous: no su
ch user found from ANeuilly-105-1-3-73.abo.wanadoo.fr [80.13.58.73] to 203.204.174.29:21
Jan 11 01:00:08 dns sshd[3328]: fatal: Timeout before authentication for 203.80.251.226.
Jan 14 13:21:20 dns proftpd[11104]: dns.kclai.idv.tw (maple-116.eftel.com[203.91.81.117]) - no such user 'anonymous'
Jan 14 13:21:21 dns last message repeated 4 times
Jan 14 13:21:21 dns proftpd[11104]: dns.kclai.idv.tw (maple-116.eftel.com[203.91.81.117]) - USER anonymous: no such user foun
d from maple-116.eftel.com [203.91.81.117] to 203.204.174.29:21
Jan 15 02:43:59 dns proftpd[11674]: dns.kclai.idv.tw (u18-119.u203-204.giga.net.tw[203.204.18.119]) - no such user 'anonymous
'
Jan 15 02:43:59 dns last message repeated 4 times
Jan 15 02:43:59 dns proftpd[11674]: dns.kclai.idv.tw (u18-119.u203-204.giga.net.tw[203.204.18.119]) - USER anonymous: no such
user found from u18-119.u203-204.giga.net.tw [203.204.18.119] to 203.204.174.29:21
Jan 16 03:07:38 dns sendmail[13644]: g0FJ4rB13644: SYSERR: putoutmsg ([65.138.119.128]): error on output channel sending "450
4.7.1 ... Can not check MX records for recipient host jahoopa.com": Broken pipe
Jan 16 03:16:59 dns proftpd[13654]: dns.kclai.idv.tw (u18-119.u203-204.giga.net.tw[203.204.18.119]) - no such user 'anonymous
'
Jan 16 03:16:59 dns last message repeated 4 times
Jan 16 03:16:59 dns proftpd[13654]: dns.kclai.idv.tw (u18-119.u203-204.giga.net.tw[203.204.18.119]) - USER anonymous: no such
user found from u18-119.u203-204.giga.net.tw [203.204.18.119] to 203.204.174.29:21
Jan 16 03:32:27 dns proftpd[13668]: dns.kclai.idv.tw (pD95601F9.dip.t-dialin.net[217.86.1.249]) - no such user 'anonymous'
Jan 16 03:32:28 dns last message repeated 4 times
Jan 16 03:32:28 dns proftpd[13668]: dns.kclai.idv.tw (pD95601F9.dip.t-dialin.net[217.86.1.249]) - USER anonymous: no such use
r found from pD95601F9.dip.t-dialin.net [217.86.1.249] to 203.204.174.29:21
Jan 16 10:37:24 dns su: neo to root on /dev/ttyp0
Jan 16 17:46:41 dns su: BAD SU neo to root on /dev/ttyp0
Jan 16 17:46:44 dns su: neo to root on /dev/ttyp0
Jan 16 17:48:22 dns proftpd[14291]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - PAM(jfs): Authenti
cation failure.
Jan 16 17:48:22 dns proftpd[14291]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - USER jfs (Login fa
iled): Incorrect password.
Jan 16 17:48:33 dns proftpd[14292]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - PAM(jfs): Authenti
cation failure.
Jan 16 17:48:33 dns proftpd[14292]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - USER jfs (Login fa
iled): Incorrect password.
Jan 16 17:49:12 dns proftpd[14294]: no modules loaded for `ftp' service
Jan 16 17:49:12 dns proftpd[14294]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - PAM(jfs): Permissi
on denied.
Jan 16 17:49:12 dns proftpd[14294]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - USER jfs (Login fa
iled): Invalid shell.
Jan 16 17:49:46 dns proftpd[14293]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - PAM(jfs): Authentication failure.
Jan 16 17:49:46 dns proftpd[14293]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - USER jfs (Login failed): Incorrect passwo
rd.
Jan 16 17:50:09 dns proftpd[14299]: no modules loaded for `ftp' service
Jan 16 17:50:09 dns proftpd[14299]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - PAM(jfs): Permissi
on denied.
Jan 16 17:50:09 dns proftpd[14299]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - USER jfs: Login su
ccessful.
Jan 16 17:50:23 dns proftpd[14303]: no modules loaded for `ftp' service
Jan 16 17:50:23 dns proftpd[14303]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - PAM(jfs): Permissi
on denied.
Jan 16 17:50:23 dns proftpd[14303]: dns.kclai.idv.tw (61-218-181-138.HINET-IP.hinet.net[61.218.181.138]) - USER jfs: Login su
ccessful.
Jan 16 17:50:34 dns proftpd[14297]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - PAM(jfs): Authentication failure.
Jan 16 17:50:34 dns proftpd[14297]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - USER jfs (Login failed): Incorrect passwo
rd.
Jan 16 17:51:48 dns proftpd[14304]: no modules loaded for `ftp' service
Jan 16 17:51:48 dns proftpd[14304]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - PAM(jfs): Permission denied.
Jan 16 17:51:48 dns proftpd[14304]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - USER jfs: Login successful.
Jan 16 17:52:40 dns proftpd[14305]: no modules loaded for `ftp' service
Jan 16 17:52:40 dns proftpd[14305]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - PAM(jfs): Permission denied.
Jan 16 17:52:40 dns proftpd[14305]: dns.kclai.idv.tw (203.75.174.1[203.75.174.1]) - USER jfs: Login successful.
Jan 17 00:40:39 dns proftpd[14611]: dns.kclai.idv.tw (kbl-ternzn2052.zeelandnet.nl[62.238.40.20]) - no such user 'anonymous'
Jan 17 00:40:40 dns last message repeated 4 times
Jan 17 00:40:40 dns proftpd[14611]: dns.kclai.idv.tw (kbl-ternzn2052.zeelandnet.nl[62.238.40.20]) - USER anonymous: no such u
ser found from kbl-ternzn2052.zeelandnet.nl [62.238.40.20] to 203.204.174.29:21
Jan 17 23:14:00 dns proftpd[16035]: dns.kclai.idv.tw (u145-245.u203-203.giga.net.tw[203.203.145.245]) - no such user 'anonymo
us'
Jan 17 23:14:00 dns last message repeated 4 times
Jan 17 23:14:00 dns proftpd[16035]: dns.kclai.idv.tw (u145-245.u203-203.giga.net.tw[203.203.145.245]) - USER anonymous: no su
ch user found from u145-245.u203-203.giga.net.tw [203.203.145.245] to 203.204.174.29:21

lman

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #15 於: 2002-01-18 21:33 »
設置防火牆
把你查到可疑的ip deny掉...
並且完全不予以回應...

這樣子對方會以為你的主機撤掉了...

唔,
不過設定防火牆的同時
不要設定“立即拒絕回應”
會被發現你設防火牆把人家給deny掉了...

FireWall的選項裡有講
參考
http://freebsd.sinica.edu.tw/handbook/firewalls.html
裡的說明做設定。

neolai

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
    • http://dns.kclai.idv.tw
這是被入侵嗎?
« 回覆 #16 於: 2002-01-20 11:58 »
Jan 20 06:17:03 mis sshd[4883]: warning: /etc/hosts.allow, line 23: can't verify
 hostname: getaddrinfo(216-236-202-117.newskies.net, AF_INET) failed
Jan 20 06:17:04 mis sshd[4884]: warning: /etc/hosts.allow, line 23: can't verify
 hostname: getaddrinfo(216-236-202-117.newskies.net, AF_INET) failed

這意思是指該使用者登入失敗嗎?或者有其他涵義呢?
/etc/hosts.allow, line 23 為 ALL : ALL : allow

各位前輩請不吝賜教,我不想再當爐主了啦...

lman

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
這是被入侵嗎?
« 回覆 #17 於: 2002-01-21 23:02 »
這只是代表,他不能證實這個hostname是不是真的歸它所有而己。

  這意思是指該使用者登入失敗嗎?或者有其他涵義呢?
  /etc/hosts.allow, line 23 為 ALL : ALL : allow

這個意思是,開放所有的連線。