mean
1
สวัสดีครับพี่ๆ ขอความช่วยเหลือหน่อยครับ
คือ มี ip ยิงเข้ามาในเครื่อง หาเราที่ port 80 จำนวนมาก
เข้ามายัง httpd และ mysqld ครับ
ผมคือทำให้มี connect เข้ามาเยอะมาก
หลังจากที่ทำการ config ต่างๆ เช่น
เพื่อทำการ scan พบสิ่งเหล่านี้
MD5 scan
Scanned files: 92
Incorrect MD5 checksums: 35
File scan
Scanned files: 342
Possible infected files: 0
Application scan
Vulnerable applications: 2
Scanning took 100 seconds
ผมเลยทำการ drop ip ไปเคล้าๆ พบว่ามี ip ใหม่ๆ connect เข้ามาเรื่อยๆ
1 ip มีหลายๆ connect
ภาวะโหลดเครื่องน้อยครับเพียง 5-7%
เช่น
[quote]
ผมคิดว่ามันปกตินะครับ
คุณมีนลองเข้าเว็บเองสิครับ แล้วดู ip ของคุณเอง
#netstat -na | grep “ip ของคุณ”
mean
3
ขอบคุณครับพี่ WebHostDD
อาการ เพิ่งมีมาได้ ประมาณ 4 วันครับ แล้วส่งผลให้ สคิบต่างๆ เกิดอาการ quary ข้อมูล ได้ติดบ้างหลุดบ้าง
ลักษณะ ip นึงมีการ connect เข้ามาหลาย อันด้วยกัน ผมลองไล่ dorp แล้วจะมี ip เหล่านี้ connect เข้ามาแทน
เท่าที่สังเกตุจะไม่เกิน 20 ip แปลกๆ
ได้เรื่องยังไงก็เอามาโพสบอกด้วยนะครับ ท่านมีน
ไม่ว่าจะเป็นที่อะไร หรือ แก้อย่างไร
จะได้เป็นวิทยาทาน หรือ เคสตัวอย่าง
Jimmy
5
ผมว่าเอาผลของ rootkit ที่ run มาดูน่าจะหาสาเหตุได้ดีกว่าครับ
