« предыдущая тема   следующая тема »
Страницы: [1]

Автор Тема: меня взломали ?  (Прочитано 2254 раз)

Оффлайн Diogen

  • Участник
  • *
  • Сообщений: 71
меня взломали ?
« : 11.06.2009 11:54:34 »
почтовая сервер генерирует левый трафик
в процессах вроде как ничего левого не болтается ..но по netstat видны регулярно такие штуки
tcp        0      0 xx.aston.ru:smtp     81.195.193.194:21345    TIME_WAIT
tcp        0      0 xx.aston.ru:smtp     cpe-67-249-250-85.:3743 ESTABLISHED
tcp        0      0 xx.aston.ru:smtp     Pc-2123.NA.Home.R:47371 TIME_WAIT

netstat -p |grep :smtp показывает что это smtpd
tcp        0      0 xx.aston.ru:smtp     host1-98-static.4:13567 ESTABLISHED 29026/smtpd

 ls -l /proc/29026/exe
lrwxrwxrwx  1 root root 0 Июн 11 11:44 /proc/29026/exe -> /usr/lib/postfix/smtpd

rpm -qf /usr/lib/postfix/smtpd
postfix-2.0.20-alt1

итого круг замкнулся ..вроде как трафик генерирует сам постфикс ?

Записан

Drool

  • Гость
Re: меня взломали ?
« Ответ #1 : 11.06.2009 13:39:09 »
Записан

Оффлайн dubrsl

  • alt linux team
  • ***
  • Сообщений: 238
Re: меня взломали ?
« Ответ #2 : 11.06.2009 13:43:14 »
Цитата: Diogen от 11.06.2009 11:54:34
почтовая сервер генерирует левый трафик
в процессах вроде как ничего левого не болтается ..но по netstat видны регулярно такие штуки
tcp        0      0 xx.aston.ru:smtp     81.195.193.194:21345    TIME_WAIT
tcp        0      0 xx.aston.ru:smtp     cpe-67-249-250-85.:3743 ESTABLISHED
tcp        0      0 xx.aston.ru:smtp     Pc-2123.NA.Home.R:47371 TIME_WAIT

А в лог постфикса не заглядывали?
Записан
WBR,
Slava

Оффлайн Diogen

  • Участник
  • *
  • Сообщений: 71
Re: меня взломали ?
« Ответ #3 : 11.06.2009 14:00:48 »
в логах постфикса чисто . никаких аномалий ...левых никаких соединений не видно
Записан

Оффлайн dubrsl

  • alt linux team
  • ***
  • Сообщений: 238
Re: меня взломали ?
« Ответ #4 : 11.06.2009 14:40:44 »
Я не понимаю с чего вы взяли что генерится левый трафик. Ну висят соединения. Я могу телнетом зайти на ваш сервер и тоже висеть будет. Это не значит что что-то взломали.
Правда в логе будет что произошел конект с такого-то сервера. Поэтому вам нужно более внимательно проверить лог.

А если действительно вы уверены что логи не пишутся, но что-то происходит, то это не возможно без изменения исполняемых файлов. И тогда нужно проверить изменbлись файлы или нет. Например проверка пакета postfix:
rpm -V postfix

Записан
WBR,
Slava

Оффлайн Diogen

  • Участник
  • *
  • Сообщений: 71
Re: меня взломали ?
« Ответ #5 : 11.06.2009 14:45:47 »
Цитата: dubrsl от 11.06.2009 14:40:44
Я не понимаю с чего вы взяли что генерится левый трафик. Ну висят соединения. Я могу телнетом зайти на ваш сервер и тоже висеть будет. Это не значит что что-то взломали.
Правда в логе будет что произошел конект с такого-то сервера. Поэтому вам нужно более внимательно проверить лог.

А если действительно вы уверены что логи не пишутся, но что-то происходит, то это не возможно без изменения исполняемых файлов. И тогда нужно проверить изменbлись файлы или нет. Например проверка пакета postfix:
rpm -V postfix


сервер сам находится гдето далеко в филиале ..работает в автопилоте много-много лет ...провайдер за прошлый месяц выставил неприлично большую сумму за инет .
Пытаемся разобраться что происходит ...
правда пока аномалий я никаких не обнаружил :( 
Возможно ошибка тарификации на стороне провайдера
Записан

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 984
    • Пошаговые инструкции
Re: меня взломали ?
« Ответ #6 : 11.06.2009 15:41:26 »
Цитата: Diogen от 11.06.2009 14:45:47
Пытаемся разобраться что происходит ...
правда пока аномалий я никаких не обнаружил :( 
Возможно ошибка тарификации на стороне провайдера

Для того чтобы понимать что происходит с трафиком я ставлю себе netams

http://forum.altlinux.org/index.php/topic,964.msg17005.html#msg17005

и всегда вижу что происходит с трафиком. Если увижу левый, начинаю разбираться.
Один раз на провайдера наехал за лишний трафик, вижу что идет. а понять не могу откуда, потом только увидел, что сам забыл выключить тестовый скрипт, который посылал пинг на яндекс.
Чаще всего ошибка у себя же самого, а не у провайдера. 
Записан
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн Diogen

  • Участник
  • *
  • Сообщений: 71
Re: меня взломали ?
« Ответ #7 : 11.06.2009 16:13:48 »
наврят-ли там моя ошибка ..ибо сервер года 3-4 в автопилоте работает ..это еще мастер 2.4
тогда мониторингом трафика не заморочились ..а щас разгребаем
Записан

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 379
  • Учиться .... Телепатами не рождаются, ими ....
Re: меня взломали ?
« Ответ #8 : 12.06.2009 16:28:24 »
Цитата: Diogen от 11.06.2009 16:13:48
наврят-ли там моя ошибка ..ибо сервер года 3-4 в автопилоте работает ..это еще мастер 2.4
тогда мониторингом трафика не заморочились ..а щас разгребаем
Ну и какой вы ... администратор, если у вас 3-4 года что-то на автопилоте работает, а вы даже логи не анализируете, да ещё и ядро столетней давности ...
Записан

Оффлайн Diogen

  • Участник
  • *
  • Сообщений: 71
Re: меня взломали ?
« Ответ #9 : 13.06.2009 10:17:06 »
Цитировать
Ну и какой вы ... администратор,
желаем перейти на личности ?
Цитировать
если у вас 3-4 года что-то на автопилоте работает, а вы даже логи не анализируете,
яж вроде как выше сказал что в логах номалий не обнаружено
Цитировать
да ещё и ядро столетней давности ...
а вы уверены что можно к старому мастеру 2.4 на ядре 2.4.х прилепить ядро из последних 2.6 ?
там напильником пилить столько что проще всю систему переустановить . а географически это совсем не близко
Записан
Страницы: [1]
« предыдущая тема   следующая тема »