再次被入侵.

blackwhite · 发表于 2003-6-5 04:12:48

今天心血来潮,对机器的安全进行了检查.用最新的chkrootkit一检查,说可能有LKM的BO,结果让我大吃一惊,又被crack了.仔细检查漏洞,升级内核,chkrootkit没有再报LKM.再magic linux上也没有发现这个问题.有人说RH是隐藏了部分进程,但新内核没有这个问题呀,估计是给入侵了.该机器是RH9,打了布丁.最近没有打布丁.开了ssh,smtp,还有portmapper,打印服务,
22/tcp open ssh
25/tcp open smtp
111/tcp open sunrpc
631/tcp open ipp
6000/tcp open X11
查了下安全的材料,应该是sunrpc有安全漏洞.以前用了防火墙设定得比较严格,过段时间就无法访问网络,过一个星期就得重启.就是最近我没有使用该防火墙,机器有20多天没有出现无法访问网络的问题,但给入侵了.
今天我再次用chkrootkit检查,又有了,真的是有LKM的BO.

空心菜 · 发表于 2003-6-5 10:31:13

小心

LYOO · 发表于 2003-6-5 11:35:08

看了半天也不知你是凭什么断定机器被入侵了，居然还把漏洞给补上的，难道是这就是入侵的证据：

以前用了防火墙设定得比较严格,过段时间就无法访问网络,过一个星期就得重启.就是最近我没有使用该防火墙,机器有20多天没有出现无法访问网络的问题,但给入侵了.

KornLee · 发表于 2003-6-5 13:07:01

如何分析日志,我看是当务之急!

blackwhite · 发表于 2003-6-5 22:43:14

我已经说了,用chkrootkit检查,报可能有LKM,再旧的内核上有隐藏的进程,升级内核后,用新内核,没有用chkrootkit检查,没有发现有隐藏的进程.因为我没有找到BO藏在什么地方,LKM的BO比较难找.现在在新内核下,又发现有隐藏的进程了,判断应该没有错.
都给入侵很长时间了,我想他肯定将日志改了.也就是个人的计算机,没有什么重要的东西.不过就是一直放在网上.估计又要重新安装了.

charley · 发表于 2003-6-8 07:23:34

gateway上跑portmapper, 那不是等着别人入侵么. 另外三层防护网都有效么?

seablue · 发表于 2003-6-8 19:52:11

对我来说比较高深,不明白如何判断被入侵了.
请问,LKM是什么?

blackwhite · 发表于 2003-6-14 00:23:22

find: /proc/2438/fd: No such file or directory
find: /proc/8856/fd/4: No such file or directory
find: /proc/2438/fd: No such file or directory
find: /proc/8858/fd/4: No such file or directory
find: /proc/2438/fd: No such file or directory
find: /proc/8859/fd/4: No such file or directory
find: /proc/8859/fd/4: No such file or directory
发现了这些进程,其中fd目录不可以进入.准备用cd启动检查.

		自动登录	找回密码
密码			注册