系统向其它主机的21端口发“SYN”包,不能找到原因,高手帮忙[已解决]
这几天比较烦,服务提供商发来邮件,说我们的机器攻击别人,使用tethreal 抓包后果然发现了攻击活动,包内容如下:
Frame 2 (54 bytes on wire, 54 bytes captured)
Arrival Time: Oct 22, 2008 06:24:44.993724000
[Time delta from previous captured frame: 0.000024000 seconds]
[Time delta from previous displayed frame: 0.000024000 seconds]
[Time since reference or first frame: 0.000024000 seconds]
Frame Number: 2
Frame Length: 54 bytes
Capture Length: 54 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:tcp]
Ethernet II, Src: Dell_fb:5b:da (00:1d:09:fb:3b:da), Dst: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
Destination: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
Address: Cisco_3f:4e:7f (00:1f:ca:3f:4e:7f)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: Dell_fb:5b:da (00:1d:09:fb:3b:da)
Address: Dell_fb:5b:da (00:1d:09:fb:3b:da)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 123.123.123.123 (123.123.123.123), Dst: 85.91.1.180 (85.91.1.180)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 40
Identification: 0x2549 (9545)
Flags: 0x00
0... = Reserved bit: Not set
.0.. = Don't fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0xfe0f [correct]
[Good: True]
[Bad : False]
Source: 123.123.123.123 (123.123.123.123)
Destination: 85.91.1.180 (85.91.1.180)
Transmission Control Protocol, Src Port: 14359 (14359), Dst Port: ftp (21), Seq: 0, Len: 0
Source port: 14359 (14359)
Destination port: ftp (21)
Sequence number: 0 (relative sequence number)
Acknowledgment number: Broken TCP. The acknowledge field is nonzero while the ACK flag is not set
Header length: 20 bytes
Flags: 0x02 (SYN)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Window size: 5226
Checksum: 0x34eb [incorrect, should be 0x350b (maybe caused by "TCP checksum offload"?)]
[Good Checksum: False]
[Bad Checksum: True]
在发现这个之后,使用ps查看运行的进程,没有发现异常的进程(或许是我没有发现)使用netstat -anc 不停查看向外的网络活动,并没有发现发向外部21端口的连接。 当时怀疑系统工具已经被感染,所以从我本地系统中上传 ps,netstat工具后查看内容一样。
现在就是使用抓包工具能够抓到向外的攻击包,但使用netstat并不能发现这些内容。怎样才能找出发包的进程? 各位大虾有没有碰到过这种事情,如果有的话提醒下小弟! 谢谢了。
[ 本帖最后由 pengiums 于 2008-10-27 11:26 编辑 ]
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(6)
使用nessused对机器做过检测,也没有发现什么漏洞。
自己来顶一下,期待高手到来
现在怀疑是由于“内核开启了LKM”从而感染了内核级的rootkit,导致使用ps 和netstat无效。但在EL5上编译kstat无法成功,老是提示找不到头文件。请问还有没有其它可以检测内核rootkit的工具? 我已经用过了chkrootkit和rhkunter.
各位大大,如果通过LKM中了木马的话,有何解决办法,除过重新编译内核和重装?
netstat -a显示的是本机的套接字,一般的攻击工具不会建立套接字,是自己构造syn攻击包从你机器里面直接发往目的地址,因此用netstat是看不到的,一般这都是某个攻击进程在作怪,或某正常进程被感染,应该和kernel无关
感谢楼上的回复,谢谢!有时候如果内核由于支持LKM的话,就用可能让攻击者将一些“坏的”模块加载入内核,从而隐藏进程及其它信息,之前只对2.4内核有效,但现在似乎对2.6内核有效的也出来了。
上周五已经把问题找到了,机器没有问题,根源在于我们的一个智能DNS软件为了判定与访问者之间的网络长度,所以会向用户所使用的dns发送syn空包,如果一个区域的用户很多的话,就会有这种问题。