1、工作环境介绍:
A.系统平台为REDHAT LINUX 7.2+KDE,内核已经更新为2.4.9-31,P3 550MHZ/40G+6G(双硬盘)/192MRAM/双网卡/声卡/TNT2 M64 16MRAM 显卡/CDROM。
B.硬盘装两个操作系统,一个是WINDOWS 2000 SERVER,已经很少使用,几乎不登陆;另一个就是REDHAT LINUX。两个系统都是各自一个主分区。由于主板的问题,40G的硬盘只能认出32G。
C.分区情况:
device size filesystem mountpoint
/dev/hda1 4G NTFS/HPFS /mnt/c
/dev/hda2 3G linux /
/dev/hda3 27G Extended
/dev/hda5 192M swap
/dev/hda6 3G linux /usr
/dev/hda7 22G Fat32 /mnt/d
/dev/hdc1 6G Extended
/dev/hdc5 3G Fat32 /mnt/e
/dev/hdc6 3G Fat32 /mnt/f
D.还有一台笔记本电脑也归我使用,它和我的电脑都接在单位的局域网上。笔记本电脑装的是WINDOWS 98 SE。单位的局域网上有病毒(尼姆达,可以还有别的。),
E.开通的服务:
台式机(就是我上面说的这台电脑)上打开了以下服务(没有全部列出来):
smb
netfs
xfs
iptables
ipchains
wu-ftpd
telnet
除了SMB的配置我改过以外,其它的配置都没有动过,系统安装时采用的是默认的防火墙策略。
F.共享
经常用SMB和笔记本共享数据,共享级别是security=share。在SAMBA中设置的只有一个用户ljs(除了root用户之外,我的系统中只有这一个用户了,它是一个普通用户。),并且只有这个用户对共享的数据具有写权限,这个用户已经用smbadduser加入smbusers中。另外,另外,有两个共享的目录对所有用户都是可读的,但是不可写。以下是从/etc/samba/smb.conf中摘出的部分相关内容:
[global]
workgroup = groupname
netbios name = ljs
server string = RedHat Linux 7.2 Samba Server
log file = /var/log/samba/%m.log
security = share
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
[homes]
comment = Home Directories
browseable = no
writeable = yes
valid users = %S
create mode = 0644
directory mode = 0775
[pub1]
comment = Linux software
path = /mnt/d
public = yes
guest ok = yes
writeable = yes
printable = no
[pub21
comment = windows software
path = /mnt/e
public = yes
browseable = yes
guest ok = yes
writeable = yes
write list = @ljs
----------------------------------------------------------------
2、当时的情况:
5月8日下午16:37分左右,我从笔记本上看到台式机共享的pub2下的好几个目录都是空的,应该里面有很多应用软件,我赶紧看它下面的其它的目录,也都是空的,一级子目录都存在,其它的我也来不及看了。看看硬盘的灯,一直都是亮的(到现在也是亮的,5月9日),我想可以是有人攻击了我的系统,赶紧把超级用户的密码和ljs用户的密码都换了,连ljs的SAMBA共享的密码都换了,看到硬盘的灯还是一直亮着,想到硬盘的数据在不断的丢失,赶紧把smb/netfs/telnet/ftp/iptables/ipchains等服务全部都关掉。还是不行,硬盘的灯是亮的,并且感觉(只是感觉)到硬盘在狂转(由于工作环境不是十分安静,所能听得不是待清楚。),实现没办法了,我把网线给拔了。直接关掉了计算机电源。
开机后,我就察看系统的日志,发现了一些问题,其实我以前从来没看过日志。
--------------------------------------------------------------------
3、一些系统日志记录(部分内容):
/var/log/messages:
May 8 16:30:22 ljs last messages repeated 240 times
May 8 16:31:23 ljs last messages repeated 240 times
May 8 16:32:24 ljs last messages repeated 244 times
May 8 16:33:25 ljs last messages repeated 240 times
May 8 16:34:26 ljs last messages repeated 244 times
May 8 16:35:27 ljs last messages repeated 240 times
May 8 16:36:14 ljs last messages repeated 191 times
May 8 16:36:20 ljs kernel: hdc: status timeout status=0x80 {Busy}
May 8 16:36:20 ljs kernel: hdc: drive not ready for command
...
May 8 16:37:25 ljs kernel: end_request: I/O error, dev 16:05 (hdc), sector 53628
....(类似内容)
May 8 16:37:25 ljs kernel: bread in fat_access failed
May 8 16:37:25 ljs kernel:Filesystem panic (dev 16:05)
May 8 16:37:25 ljs kernel: FAT error
May 8 16:37:25 ljs kernel: File system has been set read-only
May 8 16:37:25 ljs kernel:end_request:I/O error, dev 16:05 (hdc), sector 544
May 8 16:37:25 ljs kernel:bread in fat_access failed
Ma6 8 16:37:25 ljs kernel
irectory 126891:bad FAT
May 8 16:37:25 ljs kernel:end _request:I/O error, dev 16:05 (hdc), sector 10605
...(完全相同的内容有9行)
。。。(上面内容的重复,有三次左右)
(到后面,全部都是下面这一行的内容,只是时间和扇区不同而已)
May 8 16:37:25 ljs kernel
irectory sread (sector 0x82ee0) failed
May 8 16:37:25 ljs kernel:end_request:I/O error, dev 16:05 (hdc), sector 53628
/var/log/samba/log.nmbd(相关时间的部分内容,192.168.1.ip1指的是我自己的IP,其它形式的IP都是局域网内别人使用的。):
[U][2002/04/30 15:30:32, 0] nmbd/nmbd_namequery.c:query_name_response(105) query_name_response: Multiple (2) responses received for a query on subnet 192.168.1.ip1 for name groupname<1d>.
This response was from IP 192.168.1.ip2,reportingan IP address of 192.168.1.ip2.[/U]
(注:192.168.1.ip2,他的机器上后来证实有Nmuda病毒。)
...(上面的这几行有下划线的内容重得出现直至[2002/05/08 14:32:46 0]
--------------------------------------------------------------
4、请大家帮我分析一下,是否受到攻击导致硬盘损坏。
如分析时需要别的日志,请发贴。
贴子写得比较长,希望大家能够有耐心看到这一行。
