是否遭到攻击？

wanglei2002 · 发表于 2004-2-22 15:34:03

操作系统：redhat 9.0
防火墙：默认为最高级别

用utmpdump /var/log/wtmp发现如下：

[7] [03638] [:0  ] [root ] [:0       ] [                   ] [128.99.1.64    ] [Sun Feb 22 10:04:25 2004 CST]
[7] [03746] [/0  ] [root ] [pts/0    ] [:0.0             ] [0.0.0.0       ] [Sun Feb 22 10:05:38 2004 CST]
[1] [13619] [~~  ] [runlevel] [~          ] [2.4.20-8          ] [0.0.0.0       ] [Sun Feb 22 10:16:51 2004 CST]
[8] [00000] [:0  ] [       ] [:0       ] [                   ] [128.99.1.64    ] [Sun Feb 22 10:16:53 2004 CST]

本机没有授权远程用户，怀疑其为黑客入侵。

查/var/log/messages发现如下：

Feb 22 10:04:13 localhost gdm(pam_unix)[3628]: session opened for user root by (uid=0)
Feb 22 10:04:28 localhost  2月 22 10:04:28 gconfd (root-3704): 正在启动（版本 2.2.0），pid 3704 用户“root”
Feb 22 10:04:28 localhost  2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readonly:/etc/gconf/gconf.xml.mandatory”指向位于 0 的只读配置源
Feb 22 10:04:28 localhost  2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readwrite:/root/.gconf”指向位于 1 的可写入配置源
Feb 22 10:04:28 localhost  2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readonly:/etc/gconf/gconf.xml.defaults”指向位于 2 的只读配置源
Feb 22 10:04:33 localhost kernel: ide-floppy driver 0.99.newide
Feb 22 10:04:33 localhost kernel: hdd: ATAPI 52X CD-ROM drive, 120kB Cache, UDMA(33)
Feb 22 10:04:33 localhost kernel: Uniform CD-ROM driver Revision: 3.12
Feb 22 10:04:34 localhost kernel: cdrom: This disc doesn't have any tracks I recognize!
Feb 22 10:07:17 localhost kernel: eth0: Setting half-duplex based on auto-negotiated partner ability 0000.
Feb 22 10:07:20 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 5
Feb 22 10:07:25 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
Feb 22 10:07:32 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
Feb 22 10:07:47 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
Feb 22 10:08:02 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 14
Feb 22 10:08:16 localhost dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 5
Feb 22 10:08:21 localhost dhclient: No DHCPOFFERS received.
Feb 22 10:09:56 localhost kernel: CSLIP: code copyright 1989 Regents of the University of California
Feb 22 10:09:56 localhost kernel: PPP generic driver version 2.4.2
Feb 22 10:09:56 localhost pppd[3933]: pppd 2.4.1 started by root, uid 0
Feb 22 10:09:56 localhost pppd[3933]: Using interface ppp0
Feb 22 10:09:56 localhost pppd[3933]: Connect: ppp0 <--> /dev/pts/1
Feb 22 10:09:56 localhost pppoe[3934]: PPP session is 816
Feb 22 10:09:56 localhost /etc/hotplug/net.agent: assuming ppp0 is already up
Feb 22 10:09:56 localhost pppd[3933]: Remote message: Welcome to use MA5200, Huawei Tech.^J^M
Feb 22 10:09:56 localhost pppd[3933]: local  IP address 218.23.69.29
Feb 22 10:09:56 localhost pppd[3933]: remote IP address 24.24.24.24
Feb 22 10:09:56 localhost pppd[3933]: primary DNS address 202.102.192.68
Feb 22 10:09:56 localhost pppd[3933]: secondary DNS address 202.102.199.68
Feb 22 10:09:56 localhost logger: punching nameserver 202.102.192.68 through the firewall
Feb 22 10:09:56 localhost logger: punching nameserver 202.102.199.68 through the firewall
Feb 22 10:14:32 localhost adsl-stop: Killing pppd
Feb 22 10:14:32 localhost pppd[3933]: Terminating on signal 15.
Feb 22 10:14:32 localhost adsl-stop: Killing adsl-connect
Feb 22 10:14:32 localhost pppd[3933]: Connection terminated.
Feb 22 10:14:32 localhost pppd[3933]: Connect time 4.6 minutes.
Feb 22 10:14:32 localhost pppd[3933]: Sent 15080 bytes, received 84827 bytes.
Feb 22 10:14:32 localhost pppoe[3934]: read (asyncReadFromPPP): Session 816: Input/output error
Feb 22 10:14:32 localhost pppoe[3934]: Sent PADT
Feb 22 10:14:32 localhost /etc/hotplug/net.agent: NET unregister event not supported
Feb 22 10:14:32 localhost pppd[3933]: Exit.
Feb 22 10:16:51 localhost init: Switching to runlevel: 3
Feb 22 10:16:51 localhost  2月 22 10:16:51 gconfd (root-3704): 已接收到信号 15，正在干净地关闭
Feb 22 10:16:52 localhost gdm(pam_unix)[3628]: session closed for user root
Feb 22 10:16:54 localhost  2月 22 10:16:54 gconfd (root-3704): 退出

这是怎么回事？
它做了什么？
怎么预防此类事件的发生？

请大家予以指点迷津!!
谢谢!!

laokan · 发表于 2004-2-22 16:03:37

有意思！
我也学习学习！

wanglei2002 · 发表于 2004-2-22 23:11:20

难道大家都没有遇到这种情况吗？

Bluedata · 发表于 2004-2-22 23:26:41

GConf 简化了在 GNOME 桌面环境中对用户首选项的管理。 GConf 使系统管理员能够进行以下操作：

*为所有用户设置特定首选项的强制值。这样，系统管理员就可以控制用户是否能够更新特定的首选项。
*为所有用户设置特定首选项的默认值。
*使用首选项定义文件中指定的首选项建议值。
*阅读有关每个首选项的文档。

当某个首选项值改变时，GConf 还将在本地或通过网络通知相应的应用程序。这样，当更改首选项时，所有使用此首选项的应用程序都将被立即更新。

当某个首选项值改变时，GConf 还将在本地或通过网络通知相应的应用程序。
是这个的关系吧。

wanglei2002 · 发表于 2004-2-22 23:40:03

[7] [03638] [:0 ] [root ] [:0 ] [ ] [128.99.1.64 ] [Sun Feb 22 10:04:25 2004 CST]
[7] [03746] [/0 ] [root ] [pts/0 ] [:0.0 ] [0.0.0.0 ] [Sun Feb 22 10:05:38 2004 CST]
[1] [13619] [~~ ] [runlevel] [~ ] [2.4.20-8 ] [0.0.0.0 ] [Sun Feb 22 10:16:51 2004 CST]
[8] [00000] [:0 ] [ ] [:0 ] [ ] [128.99.1.64 ] [Sun Feb 22 10:16:53 2004 CST]

128.99.1.64　这是哪个ip地址，它为什么要登录我的机子？

然后它就开始做以下工作：

Feb 22 10:04:28 localhost 2月 22 10:04:28 gconfd (root-3704): 正在启动（版本 2.2.0），pid 3704 用户“root”
Feb 22 10:04:28 localhost 2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readonly:/etc/gconf/gconf.xml.mandatory”指向位于 0 的只读配置源
Feb 22 10:04:28 localhost 2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readwrite:/root/.gconf”指向位于 1 的可写入配置源
Feb 22 10:04:28 localhost 2月 22 10:04:28 gconfd (root-3704): 解析的地址“xml:readonly:/etc/gconf/gconf.xml.defaults”指向位于 2 的只读配置源

这是它干的吗？在干吗？

gugong · 发表于 2004-2-23 16:23:10

很明显，日志还在。

last 可以看到这个 IP 地址 128.99.1.64 吗？

极有可能是您自己在 gnome 窗口里面登陆了 128.99.1.64 这台机器。

wanglei2002 · 发表于 2004-2-23 19:25:51

[8]　[00000]　　　[:0　　]　　　[　　　]　　　[:0　　　]　　　[　　　　]　　　[128.99.1.64　　]　　　[Sun　Feb 22 10:16:53 2004 CST]
[8]　[03585]　　　[x　　]　　　[　　　 ]　　　[　　　　]　　　[2.4.20-8]　　　[0.0.0.0　　　　]　　　[Sun Feb 22 10:16:57 2004 CST]
[7]　[03329]　　　[/0　　]　　　[root　　]　　 [pts/0　　]　　　 [:0.0　　　] 　　[0.0.0.0　　　　]　　[Mon Feb 23 18:18:18 2004 CST]
[1]　[00000]　　　[~~　　]　　　[shutdown]　　　[~~　　]　　　　[2.4.20-8　]　　[0.0.0.0　　　　]　　[Mon Feb 23 18:04:57 2004 CST]

能否具体介绍一下它的每列的含义，从书上和网上都没有找到有关资料。

还有第三列出现了许多的不同，它们是什么：
　　:0　　x　　/0　　si　　~~ 还有就是　数字
还有第五列的 pts/0 以及 ~~ 和 ~

能否请斑竹给予解答？

有这里先谢过！！！　

wanglei2002 · 发表于 2004-2-25 13:10:16

顶一下

wanglei2002 · 发表于 2004-2-26 23:46:20

没有人知道/var/log/wtmp中的每一列的具体含义吗？
请大家帮助！！！

wanglei2002 · 发表于 2004-2-29 18:34:47

没有人告诉我吗？

		自动登录	找回密码
密码			注册

是否遭到攻击？

浏览过的版块