注册
登录
会员
标签
鲜花鸡蛋
插件
帮助
Linux伊甸园论坛
»
Linux/Unix系统安全
» 【求助】各位大虾:请帮我看看我的机器怎么了?
‹‹ 上一主题
|
下一主题 ››
发新话题
发布投票
发布商品
发布悬赏
发布活动
发布辩论
发布视频
打印
【求助】各位大虾:请帮我看看我的机器怎么了?
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
楼主贴
大
中
小
发表于 2006-12-3 12:01
只看该作者
【求助】各位大虾:请帮我看看我的机器怎么了?
各位大虾:请帮我看看我的机器怎么了?
今天突然公司服务器连接不上,后来托管中心重新启动了,但我用netstat -ln查看的时候发现不对,向各位请教:
tcp 0 0 127.0.0.1:8005 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8008 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
raw 0 0 0.0.0.0:1 0.0.0.0:* 7
raw 1312 0 0.0.0.0:1 0.0.0.0:* 7
比我以前查看的时候多了
raw 0 0 0.0.0.0:1 0.0.0.0:* 7
raw 1312 0 0.0.0.0:1 0.0.0.0:* 7
请问有什么问题吗?是否已经被入侵了啊?
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
Roc.Ken
版主
帖子
6145
精华
88
积分
313
在线时间
465 小时
个人空间
发短消息
加为好友
当前离线
呵呵抢到沙发了
大
中
小
发表于 2006-12-3 14:30
只看该作者
可能是不正常的进程运行了, 建议关闭服务进程,用iptables限制访问IP,并检查系统的状态.
看看 netstat 加 -p 参数后的输出, 还有系统中的 ps -ef 输出
Advance Monitor
-
Linux Monitoring Solution
UID
47703
帖子
6145
精华
88
积分
313
贡献积分
124
论坛活跃
918
公关推广
16
鲜花
1
鸡蛋
0
来自
admon.org
在线时间
465 小时
注册时间
2003-6-6
最后登录
2008-8-21
查看个人网站
查看详细资料
TOP
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
板凳位置
大
中
小
发表于 2006-12-3 20:01
只看该作者
非常感谢您的答复!可能的话,请帮忙继续看看!
netstat -p 结果如下
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 211.157.109.72:http 222.69.178.24:9061 SYN_RECV -
tcp 0 0 Mylucky:mysql Mylucky:32780 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32781 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32782 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32783 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32776 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32777 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32778 ESTABLISHED 2572/
tcp 0 0 211.157.109.72:http 60.11.193.143:1824 ESTABLISHED 3631/
tcp 0 0 Mylucky:mysql Mylucky:32779 ESTABLISHED 2572/
tcp 0 0 211.157.109.72:http 60.11.193.143:1825 ESTABLISHED 3639/
tcp 0 0 Mylucky:mysql Mylucky:32772 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32773 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32774 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32775 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32770 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32771 ESTABLISHED 2572/
tcp 0 0 Mylucky:mysql Mylucky:32784 ESTABLISHED 2572/
tcp 0 0 Mylucky:8009 Mylucky:33338 ESTABLISHED 2572/
tcp 0 0 Mylucky:8009 Mylucky:33338 ESTABLISHED 2640/java
tcp 0 0 Mylucky:8009 Mylucky:33331 ESTABLISHED 2640/java
tcp 0 0 211.157.109.72:http 218.10.29.201:1156 ESTABLISHED -
tcp 0 0 Mylucky:8009 Mylucky:33316 ESTABLISHED 2640/java
tcp 0 0 211.157.109.72:http 218.10.29.201:1155 ESTABLISHED -
tcp 0 0 Mylucky:8009 Mylucky:33375 ESTABLISHED -
tcp 0 0 Mylucky:8009 Mylucky:33374 ESTABLISHED -
tcp 0 17425 211.157.109.72:http 59.40.120.60:65207 FIN_WAIT1 -
tcp 0 0 Mylucky:8009 Mylucky:33105 ESTABLISHED 2640/java
tcp 0 0 Mylucky:8009 Mylucky:33350 ESTABLISHED 2640/java
tcp 0 0 Mylucky:8009 Mylucky:33345 ESTABLISHED 2640/java
tcp 0 21781 211.157.109.72:http 222.69.178.24:8977 LAST_ACK -
tcp 0 0 211.157.109.72:http 218.84.84.86:3753 FIN_WAIT2 -
tcp 0 0 Mylucky:32774 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32775 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32772 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32773 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32770 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32771 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32782 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32783 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32780 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32781 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32778 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32779 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32776 Mylucky:mysql ESTABLISHED 2640/java
tcp 0 0 Mylucky:32777 Mylucky:mysql ESTABLISHED -
tcp 0 0 Mylucky:8009 Mylucky:33198 ESTABLISHED 2640/java
tcp 0 0 Mylucky:33220 Mylucky:8009 TIME_WAIT -
tcp 0 0 Mylucky:33217 Mylucky:8009 ESTABLISHED 3489/
tcp 0 0 Mylucky:33225 Mylucky:8009 TIME_WAIT -
tcp 0 0 Mylucky:33198 Mylucky:8009 ESTABLISHED 3453/
tcp 0 0 Mylucky:33105 Mylucky:8009 ESTABLISHED 3298/
tcp 0 0 Mylucky:33374 Mylucky:8009 ESTABLISHED -
tcp 0 0 Mylucky:33375 Mylucky:8009 ESTABLISHED -
tcp 0 0 Mylucky:33350 Mylucky:8009 ESTABLISHED 3644/
tcp 0 0 Mylucky:33345 Mylucky:8009 ESTABLISHED 3639/
tcp 0 0 Mylucky:33377 Mylucky:8009 ESTABLISHED -
tcp 0 0 Mylucky:33331 Mylucky:8009 ESTABLISHED 3576/
tcp 0 0 Mylucky:33338 Mylucky:8009 ESTABLISHED 3631/
tcp 0 0 Mylucky:33316 Mylucky:8009 ESTABLISHED 3578/
tcp 0 0 Mylucky:33370 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33371 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33368 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33369 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33372 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33373 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:33376 Mylucky:http TIME_WAIT -
tcp 0 0 Mylucky:8009 Mylucky:33217 ESTABLISHED 2640/java
tcp 0 0 211.157.109.72:http 59.40.17.44:4064 TIME_WAIT -
tcp 0 0 211.157.109.72:http 59.40.17.44:4070 ESTABLISHED -
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 6 [ ] DGRAM 2345 2475/syslogd /dev/log
unix 3 [ ] STREAM CONNECTED 10392 3413/sshd
unix 3 [ ] STREAM CONNECTED 10391 3415/sftp-server
unix 3 [ ] STREAM CONNECTED 10390 3413/sshd
unix 3 [ ] STREAM CONNECTED 10389 3415/sftp-server
unix 3 [ ] STREAM CONNECTED 10300 3399/sshd
unix 3 [ ] STREAM CONNECTED 10299 3402/sftp-server
unix 3 [ ] STREAM CONNECTED 10298 3399/sshd
unix 3 [ ] STREAM CONNECTED 10297 3402/sftp-server
unix 2 [ ] DGRAM 2605 2614/
unix 2 [ ] DGRAM 2554 2584/crond
unix 2 [ ] DGRAM 2461 2527/xinetd
unix 2 [ ] DGRAM 2353 2479/klogd
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
委屈了,只有地板
大
中
小
发表于 2006-12-3 20:03
只看该作者
ps -ef 结果如下:是不是有人在恶意攻击啊?
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 14:18 ? 00:00:04 init
root 2 0 0 14:18 ? 00:00:00 [migration/0]
root 3 0 0 14:18 ? 00:00:00 [migration/1]
root 4 1 0 14:18 ? 00:00:00 [keventd]
root 5 1 0 14:18 ? 00:00:01 [ksoftirqd_CPU0]
root 6 1 0 14:18 ? 00:00:00 [ksoftirqd_CPU1]
root 11 1 0 14:18 ? 00:00:00 [bdflush]
root 7 1 0 14:18 ? 00:00:00 [kswapd]
root 8 1 0 14:18 ? 00:00:00 [kscand/DMA]
root 9 1 0 14:18 ? 00:00:03 [kscand/Normal]
root 10 1 0 14:18 ? 00:00:07 [kscand/HighMem]
root 12 1 0 14:18 ? 00:00:01 [kupdated]
root 13 1 0 14:18 ? 00:00:00 [mdrecoveryd]
root 22 1 0 14:18 ? 00:00:00 [kjournald]
root 77 1 0 14:18 ? 00:00:00 [khubd]
root 2183 1 0 14:18 ? 00:00:00 [kjournald]
root 2184 1 0 14:18 ? 00:00:00 [kjournald]
root 2185 1 0 14:18 ? 00:00:00 [kjournald]
root 2475 1 0 14:19 ? 00:00:00 syslogd -m 0
root 2479 1 0 14:19 ? 00:00:00 klogd -x
root 2516 1 0 14:19 ? 00:00:00 /usr/sbin/sshd
root 2527 1 0 14:19 ? 00:00:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
root 2540 1 0 14:19 ? 00:00:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
mysql 2572 2540 0 14:19 ? 00:00:00 [mysqld]
root 2575 1 0 14:19 ? 00:00:00 /usr/sbin/httpd
root 2584 1 0 14:19 ? 00:00:00 crond
xfs 2614 1 0 14:19 ? 00:00:00 [xfs]
root 2640 1 0 14:19 ? 00:00:02 /opt/jdk/bin/java -Xmx256m -Xss256k -Djava.endorsed.dirs=/opt/tomcat/bin:/opt
root 2644 1 0 14:19 tty1 00:00:00 /sbin/mingetty tty1
root 2645 1 0 14:19 tty2 00:00:00 /sbin/mingetty tty2
root 2646 1 0 14:19 tty3 00:00:00 /sbin/mingetty tty3
root 2647 1 0 14:19 tty4 00:00:00 /sbin/mingetty tty4
root 2648 1 0 14:19 tty5 00:00:00 /sbin/mingetty tty5
root 2649 1 0 14:19 tty6 00:00:00 /sbin/mingetty tty6
apache 3298 2575 0 17:58 ? 00:00:00 [httpd]
root 3399 2516 0 18:53 ? 00:00:00 /usr/sbin/sshd
root 3402 3399 0 18:53 ? 00:00:00 /usr/libexec/openssh/sftp-server
root 3413 2516 0 18:57 ? 00:00:00 /usr/sbin/sshd
root 3415 3413 0 18:58 ? 00:00:00 /usr/libexec/openssh/sftp-server
apache 3453 2575 0 19:13 ? 00:00:00 [httpd]
apache 3489 2575 0 19:21 ? 00:00:00 [httpd]
apache 3526 2575 0 19:41 ? 00:00:00 [httpd]
apache 3546 2575 0 19:46 ? 00:00:00 [httpd]
apache 3575 2575 0 19:48 ? 00:00:00 [httpd]
apache 3576 2575 0 19:48 ? 00:00:00 [httpd]
apache 3578 2575 0 19:48 ? 00:00:00 [httpd]
apache 3616 2575 0 19:50 ? 00:00:00 [httpd]
apache 3618 2575 0 19:51 ? 00:00:00 [httpd]
apache 3619 2575 0 19:51 ? 00:00:00 [httpd]
apache 3620 2575 0 19:51 ? 00:00:00 [httpd]
apache 3621 2575 0 19:51 ? 00:00:00 [httpd]
apache 3624 2575 0 19:51 ? 00:00:00 [httpd]
apache 3631 2575 0 19:51 ? 00:00:00 [httpd]
apache 3634 2575 0 19:51 ? 00:00:00 [httpd]
apache 3639 2575 0 19:51 ? 00:00:00 [httpd]
apache 3644 2575 0 19:51 ? 00:00:00 [httpd]
apache 3648 2575 0 19:51 ? 00:00:00 [httpd]
root 3650 2516 0 19:52 ? 00:00:00 /usr/sbin/sshd
apache 3656 2575 0 19:52 ? 00:00:00 [httpd]
apache 3657 2575 0 19:52 ? 00:00:00 [httpd]
apache 3658 2575 0 19:52 ? 00:00:00 [httpd]
root 3659 3650 0 19:52 pts/0 00:00:00 -bash
root 3704 3659 0 19:56 pts/0 00:00:00 ps -ef
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
5楼
大
中
小
发表于 2006-12-3 20:06
只看该作者
另外,可否请教下 iptables 如何运用?
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
Roc.Ken
版主
帖子
6145
精华
88
积分
313
在线时间
465 小时
个人空间
发短消息
加为好友
当前离线
6楼
大
中
小
发表于 2006-12-3 20:35
只看该作者
从进程和连接上看不出异常,不知系统有其他的异常没有.
> raw 0 0 0.0.0.0:1 0.0.0.0:* 7
> raw 1312 0 0.0.0.0:1 0.0.0.0:* 7
这些一般是IP层的抓包程序产生的,比如tcpdump, lvs(nanny), 需要注意. 不知这台主机上有特殊服务没有?
Advance Monitor
-
Linux Monitoring Solution
UID
47703
帖子
6145
精华
88
积分
313
贡献积分
124
论坛活跃
918
公关推广
16
鲜花
1
鸡蛋
0
来自
admon.org
在线时间
465 小时
注册时间
2003-6-6
最后登录
2008-8-21
查看个人网站
查看详细资料
TOP
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
7楼
大
中
小
发表于 2006-12-4 10:10
只看该作者
听你这么一说,稍微放点心了。不过这台机器上没有什么特殊服务啊,就只是WEB服务,只会访问80啊。
还有就是,这个是怎么产生的啊,为什么刚开始没有呢?机器刚装好的时候,没有。运行一段时间了也没有。
> raw 0 0 0.0.0.0:1 0.0.0.0:* 7
> raw 1312 0 0.0.0.0:1 0.0.0.0:* 7
这个是突然出现的。因为我也会时不时的看看。以前我用 netstat -ln 检查是不会出现的。所以会觉得有问题。
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
steven007
注册会员
注册用户
帖子
49
精华
0
积分
11
在线时间
0 小时
个人空间
发短消息
加为好友
当前离线
8楼
大
中
小
发表于 2006-12-6 18:30
只看该作者
???? 有人能够解释下吗?
Steven
UID
52637
帖子
49
精华
0
积分
11
贡献积分
0
论坛活跃
40
公关推广
10
鲜花
0
鸡蛋
0
来自
新疆
在线时间
0 小时
注册时间
2003-8-9
最后登录
2008-6-6
查看详细资料
TOP
‹‹ 上一主题
|
下一主题 ››
控制面板首页
编辑个人资料
积分记录
公众用户组
勋章
访问推广
宣传中心
领取红包
基本概况
版块排行
主题排行
发帖排行
积分排行
交易排行
在线时间
管理团队
管理统计
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
向朋友推广Linuxeden,得网站积分换礼品
best dvd copy software
多串口卡,kvm切换器
