“没有发现从6:40-8:30的22端口链接” 不在这个时间段里连接,也照样可以在这个时间段里做事的方法有很多种,键议你不要单看该时间段22端口的日志,如果日志完好的话把该时间段其他的记录都看下,从被攻击的角度说.
在2009-05-24,x-safe <[email protected]> 写道: 问题是这样的,服务器上3T的数据突然什么也没有了,我怀疑是被攻击了! 环境是这样的,服务器A提供Web服务,硬盘数据来自一个磁盘阵列,11块硬盘构成的卷组,从卷组上划分了sdc1 sdd1 sde1 给A服务器,每个分区是1.8T! 21号早晨6:40分访问A服务器好使,8:30访问A服务器出现异常,立即查找原因,发现sdc1 sdd1 sde1 数据全部没了,查找message日志 和 secure日志 没有发现从6:40-8:30的22端口链接,因为防火墙只允许特定的iP段链接A服务器,查找防火墙日志没有发现链接22端口的迹象。查找WEb的所有目录,web文件不是很多,没有发现webshell之类的文件!联系磁盘厂家,厂家来人检查硬盘后发现硬盘没有问题,因为可以正常挂载和使用! 大家说说应该总哪方面来查找一些线索呢?谢谢各位了! 穿越地震带 纪念汶川地震一周年 --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
