服务器被入侵, 急, 大家进来看看, 能帮忙的帮帮忙呀

离弦之箭 · 发表于 2005-4-11 11:11:38

前段时间公司刚配了台服务器

系统是 redhat linux 9 的

由于还没有正式投入服务, 没注意什么安全问题, 密码设得过于简单, 结果被人入侵

发现之后, 将整个硬盘都格了, 重装了系统, 及配置些服务

装完没两天, 今天又发现大量的扫描日志

对服务器进行FTP登陆扫描的IP : 80.152.244.1

SSH 登陆扫描的IP有: 211.227.253.234
211.155.225.204
218.158.2.53

还有一些有点可疑的 IP

看了这些日志之后, 感觉像是被上次入侵的人给盯上了

无奈本人技术低微, 有点束手无策的感觉, 正常的工作也做不了, 求各位高人指点我该怎么办

该做点什么?

xep007 · 发表于 2005-4-11 11:50:21

装最新的AS4,及时升级，设置复杂的密码！

离弦之箭 · 发表于 2005-4-11 12:01:31

redhat 9 不能用了么?

hongfeng · 发表于 2005-4-11 13:42:52

RH9可以使用的。
1，去掉不需要的服务。
2，设置复杂的密码。
3，设置iptables策略。
4，升级你需要的软件的版本。
5，other

snoopyxp · 发表于 2005-4-11 13:50:03

redhat9一定要升级内核，不然死的很快。

yifi · 发表于 2005-4-11 14:05:11

内核升级关毕不用的服务设置iptables到严格过滤

konds · 发表于 2005-4-11 17:27:14

查log
查last
查history
查是否有计划任务类进程
查是否有未配置的可以进程
查用户uid gid
建立自己的root用户
nologin 系统root用户名
卡服务
上firewall
及时升级相关包包
记得尽量不要把ftp目录和http目录重合

dancingpig · 发表于 2005-4-12 00:49:10

找个aide，apache的做个chroot
有本事的装个LIDS
8过新版本的我到现在还没搞明白。。。嘿嘿

离弦之箭 · 发表于 2005-4-14 15:28:08

用 netstat -a 查看有个连接不知道是什么东东, 如下:

tcp 0 0 *.*.*.*(本地IP) :sunrpc p508EF401.dip.t-d:46177 ESTABLISHED

大家帮忙看看

离弦之箭 · 发表于 2005-4-14 15:30:51

Post by snoopyxp
redhat9一定要升级内核，不然死的很快。

怎么升级呀?

		自动登录	找回密码
密码			注册