[问题求助][RedHat] 怀疑刚刚我的网关服务器被攻击了 [复制链接]

就在刚刚。有人打.电话给我说.单位上网超慢，我登上网关（iptables做的一个nat防火墙而已），free都正常，TOP也正常。netstat -n.at也正常。.

我用ifto..p看带宽，一个外网的IP：125.89.78.246占了1.4M的流量，我踢！虚拟主机

我在FORWARD表里-s -d这个IP，全部DROP，在INPUT和OUT.PUT里也全部-S -D做DROP，但是还是那么高流量。.学习

我一下没法子了，将ip.tables服务停掉再.开，还是一样。.

然后我试了试将.wan接口down了，才好！外贸

帮忙.分析下，这算哪门子情况？我又不做什.么服务，一个nat服务器都能被攻击？服务器

后面我看了下iptable.s的日志，好丰富啊，晕！我贴点上来，.大家帮忙看下。<性病>

有很大一部分不正常日志是类似这样.：.
Dec  9 19:.20:59 spr.ing kernel: BIOS-provided physical RAM map:.
Dec  9 19:20:59 spring kernel.:  BIOS.-e820: 0000000000000000 - 00000000000a0000 (u.sable)             汽车
Dec  9 19:20:59 spring ker.nel:  BIOS-e820: 00000000000f.0000 - 0000000000100000. (reserved).
Dec  9 19:20:59 s.pring ker.nel:  BIOS-e820: 000.0000000100000 - 000000003fe70000 (usable).
Dec  9 19.:20:59. spring kernel:  BIOS-e820: 000000003fe70000 - 000000003fe72000 .(ACPI NVS)域名
Dec  9 1.9:20:59 s.pring kernel:  BIOS-e820: 000000003fe72000. - 000000003fe93000 (ACPI data)[成人用品]
Dec  9 19:20:59 spring kernel:  BIOS-e.820: 00000000.3fe93000. - 000000003ff00000 (reserved)             汽车

还有这个：
Dec  9 19:20:59 sprin.g kernel: 126MB HI.GHMEM available.<性病>
Dec  9 19:20:59 spring kernel: 896MB LOWMEM av.ail.able.           女人
Dec  9 19:20:59 spring. kernel: found SMP MP-tabl.e at 000fe710电脑
Dec  9 19:20:59 spring kernel: Using x86 segme.nt limi.ts to approximate N.X protection              乙肝
Dec  9 19:21:00 spring k.ernel: zapping l.ow mappings.            杀毒
Dec  9 19:21:0.0 spring kernel: On node 0 totalpages: 26.1744服务器
Dec  9 19:21:00 sp.ring. kernel:   DMA zone: 4096 pages, LIFO batch:1              乙肝
Dec  9 19:21:00 spring k.ernel:   Normal zone: 225280 pages, LIFO b.atch:16           鲜花
Dec  9 19:21:00 spri.ng kernel:   HighMem zone: 32368 pages,. LIFO batch:7域名
Dec  9 19:21:00 spring kernel:. DMI 2.3 present..             汽车
Dec  9 19.:21.:00 spring kernel: ACPI: RSDP (v000 DELL                              .    ) @ 0x000feb90.

这个：
Dec  9 19:21:00 spring kernel:. ACPI: .FADT (v00.1 DELL    170L    0x00000008 ASL  0x00000061) @ 0x000fd21f(        游戏          )
Dec  .9 19:21.:00 spring kernel: ACPI: S.SDT (v001   DELL    st_ex 0x00001000 MSFT 0x0100000d) @ 0xfffd2051--- 印刷
Dec  9 19:21:00 spring kernel: ACPI: MADT (v001 DELL    170L    0x0.0000008 ASL  0.x00000061) @ 0x000fd2.93投资
Dec  9 19:21:00 spr.ing kernel: ACPI: BOOT (v001 DELL    170L    0x0000.0008 ASL  0x00000061) @ 0x000fd2f.f--------------彩票
Dec  9 19:21:.00 sprin.g kernel: ACPI: DSDT (v001   DELL    dt_ex 0x000.01000 MSFT 0x0100000d) @ 0x00000000.

这个：
Dec  9 19:.21:01 spring k.ernel: Intel machine check architecture supported.服务器
Dec.  9 19:21:01 sprin.g kernel.: Intel machine check reporting enabled on CPU#0.    美容
Dec  9 19:21:01 spring kernel.: CPU0.: Intel P4/Xeon Extended MCE. MSRs (12) available.
Dec  9 19:21:01 spring kernel:. CPU0: Thermal monitorin.g enabled.
Dec  9 19:21.:01. spring kernel: CPU: Intel(R) Pentium(R) 4 CPU. 2.60GHz stepping 09             汽车
Dec  9 19:21:01 spring kernel: Enabling fast FPU .save and. restore... done..
Dec  9 19:21:01 spring kernel: Enab.ling unmasked. SIMD FPU exception support.... done.           女人
Dec  9 19:21:01 spring kernel.: Checking. 'hlt' instruction... OK..
Dec  9 19:21:01 spri.ng kernel: EN.ABLING IO-APIC IRQs.
Dec  9 19:21:01 spring kernel: ..TIMER: vecto.r=0x31 pin.1=2 pin2=-1              乙肝
Dec  9 19:21:01 spring kernel: checking if image is i.nitramfs... it. is.

这些日志我.以前看.日志文件的时候并没看到这些，都是些常见的。学习

看看secure的日志信息
cat /var/log/secure

[ 本帖最后由 kns1024wh 于 2008-12-9 21:32 编辑 ]

你的日志只能说明机器重启了

楼上的大哥，请问机器重启都会让iptables产生类似这样的日志吗？

但是我以前也有重启过啊，为什么日志里没有这个样的记录。
我iptables的日志是单独滚动的，就是和syslog系统的日志分开了。

回头看看seure日志。

单纯看你贴上来的日志是系统重启的日志
你再看看系统日志里面有没有相同的

你所提供的日志看不出有什么攻击信息

关于停止了iptables还有流量有些怪异，只能抓包分析了。

[ 本帖最后由 剑次狼 于 2008-12-10 17:34 编辑 ]

楼上的兄弟！我觉得如果是bt和电驴造成这个现象，不可能是因为已连接状态,iptables就断不了他们。
比如你拿BT在下载东西，我在FORWARD表里DROP你，你还能上网？

QUOTE:原帖由 defage 于 2008-12-10 14:40 发表
楼上的兄弟！我觉得如果是bt和电驴造成这个现象，不可能是因为已连接状态,iptables就断不了他们。
比如你拿BT在下载东西，我在FORWARD表里DROP你，你还能上网？

恩恩，早上忙迷糊了，犯了如此低级错误。