酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: 凱文克萊 於 2003-02-14 15:06

主題: 是否被入侵了呢?
作者: 凱文克萊2003-02-14 15:06
今天公司的網路速度異常緩慢..
連進CISCO ROUTER查看之後發現LINUX主機的流量很大
使得T1的頻寬幾乎要滿載...
這台LINUX主機的主要功能只是在做流量的監控 裝了MRTG & NTOP
但是常發現有很多奇怪的IP位置連到主機的80port
今天發現這個情形...就先將主機關機...然後拔掉網路線
但網路狀況還是沒好轉....從ROUTER看到的結果就是還是有幾個IP持續的
送封包到我LINUX主機的IP位置
難道將主機關機和拔掉網路線還是無法擺脫攻擊嗎?
當我再次遇到這個情形有什麼方法可以因應呢?
主題: 是否被入侵了呢?
作者: netman2003-02-14 15:12
看起來像是 code red 之類的病毒攻擊。
到 google 找找?
主題: 是否被入侵了呢?
作者: 凱文克萊2003-02-14 15:24
難道LINUX也有類似WINDOWS平台的CODE RED病毒嗎?
還是病毒的感染途徑是不分平台的呢?
主題: 是否被入侵了呢?
作者: netman2003-02-14 15:26
code red 是採用的是"亂槍打鳥",
管你是 windows 還是 linux ,有開 80 就給你打下去,
打中了中頭彩,打不中也不賠錢。
主題: 是否被入侵了呢?
作者: TyroneYeh2003-02-14 16:48
用 mod_antihak for apache web server module 去擋
http://phorum.study-area.org/viewtopic.php?t=14921

已安裝 mod_antihak 測試網址

http://siryeh.ath.cx 正常可瀏覽
模擬 code red 病毒進入網址
http://siryeh.ath.cx/scripts/root.exe?/c+dir 立刻阻擋來源 ip 位置
連 http://siryeh.ath.cx 都進不器囉!

試試看吧!
主題: 是否被入侵了呢?
作者: bigsun2003-02-14 16:50
諸位大人:

   照這樣情形看來,接收大量封包的Web Server能夠有何對策,來解決這樣的問題呢?? 請各位先進指點迷津, Thanks!

Best Regards,
Bruce Yang
主題: 是否被入侵了呢?
作者: bigsun2003-02-14 17:27
諸位大人:

請教一下,會員post文章時,時間是參考Client端,還是參考Server上面的時間??由於時間差的關係,我發現TyroneYeh回答問題之後,我對於相關問題又再問了一次,真是好糗,請各位大人指點一下,Thanks!

Best Regards,
Bruce Yang
主題: 是否被入侵了呢?
作者: TyroneYeh2003-02-14 17:30
是依照 server 端的時間, 跟按送出時間有關

就是同時在輸入訊息, 誰先按送出誰就排在前面, 這也是要看打字速度!

另外 關於 mod_antihak 如果被 mod_antihak 阻擋後, 可能要手動清除 iptables INPUT 規則, 不然就要等重新開機囉!

所以那個測試 code red 測試網址按下去之後, 會很久都不能連上該網站說, 除非我把規則重新定義了!

我在看看, 有空我就去清一下阻擋規則, 2/17 以前, 多 TRY TRY 吧!
主題: 是否被入侵了呢?
作者: TyroneYeh2003-02-14 17:37
我看我用 crontab 去 10 分鐘去清一次好了, 這樣子應會比較理想!
主題: 是否被入侵了呢?
作者: netman2003-02-14 18:52
若有裝過 portsentry ,預設是 6 小時清一次規則。
看 /etc/cron.d/potsentry 就知。
主題: 是否被入侵了呢?
作者: duncanlo2003-02-14 19:42
就算你主機作再強的防護,
甚至把網路線都拔掉,
CodeRed攻擊還是過到Router內來,
那頻寬...還是被吃光了!

像CodeRed這種的攻擊,
最好是越上游來防治效果越好.
主題: 是否被入侵了呢?
作者: 凱文克萊2003-02-15 10:37
很感謝各位大大的解答
我想我會循著上述的方法試試看..
我也很大意..
可能是剛開始使用linux而且也很少聽到關於lnux病毒的訊息
所以忽略了要做此防範..
再請問大大們...
linux中常見的病毒有哪些呢?有類似像趨勢這樣的網站對病毒做介紹嗎?
主題: 是否被入侵了呢?
作者: netman2003-02-15 21:42
我倒先勸您了解一下 user permission 相關的概念,
若您能解釋 SUID 為何物及有何危害。

然後再思考 linux 的病毒若遭一般 user 跑起來,跟用 root 跑起來有何差異?
然後再想想若在 windows 中跑呢?

最後,若你是病毒作者的話,寧願花時間寫 windows 的病毒還是 linux 的病獨呢?

p.s.
virus 與 worm 的差異處在於 "感染" (請從醫學角度來看)。
主題: 是否被入侵了呢?
作者: 凱文克萊2003-02-17 09:21
謝謝您的提示...
我會先從這方面先去了解的^^"