我被人攻擊,我該怎麼辦??

bingol · 发表于 2004-9-25 08:10:05

:help :help :help
今天早我進入郵件服務器的時候,發現一個問題:用w查看的時候沒有竟然一個用戶都沒有,/var/log/secure,這個文件不見啦!!!!真的很慘.....

請教高手們,我現在需要怎樣做才能恢?蛍這個功能???

David · 发表于 2004-9-25 09:37:21

你还可以看到哪些文件？ Server 还能运行吗？

bingol · 发表于 2004-9-25 11:53:24

可以運行,也可以收發郵件,但是我用ps -aux的時候就會有提示:Signal 17 caught by ps (procps version 2.0.7).
Please send bug reports to <procps-bugs@redhat.com>
我到redhat去查看啦,說可以是被黑掉啦.

Snoopy · 发表于 2004-10-4 21:25:58

你怎么发现是被人家黑的，只因为这个文件？还是系统本身问题？检查一下先

rori · 发表于 2004-10-5 10:29:17

。。。。

bingol · 发表于 2004-10-7 08:15:22

斑竹....我可以確定是被人黑了.因為secure是一個系統日志,記錄著最近一個星期內所有人進入服務器所做的事情.用ps ax?聿榭吹拇_是有人rm了我的一些文件.隨便問下touch這個命令,應該怎樣用?謝謝

Snoopy · 发表于 2004-10-7 13:35:52

touch bingol

faint · 发表于 2004-10-7 15:29:33

使用touch 通常会更新ctime的，但是对于一个已经攻入root帐号的人来说，没有理由在使用touch的同时不更改系统时间。这样，ctime就不可靠了。

备份数据，重装系统，慢慢恢复数据，加载系统安全:-)

bingol · 发表于 2004-10-7 21:14:18

把這個東東貼出?泶蠹規兔匆幌,他對我做了一些什麼,或者他是怎麼進?淼!!!麻煩啦!~
######################################################################

[root@lx1 ~]# ps ax
  PID TTY    STAT TIME COMMAND
1 ?       S    0:05 init [3]
2 ?       SW    0:00 [kflushd]
3 ?       SW    0:01 [kupdate]
4 ?       SW    0:00 [kpiod]
5 ?       SW    0:00 [kswapd]
6 ?       SW< 0:00 [mdrecoveryd]
81 ?       T    0:00 rm -f /etc/mtab~ /etc/mtab~~
88 ?       T    0:00 rm -f /lib/modules/preferred
90 ?       T    0:00 rm -f /lib/modules/default
  124 ?       S    0:10 touch /var/lock/subsys/kudzu
  233 ?       T    0:00 rm -f *
  239 ?       Z    0:00 [rm <defunct>]
  332 ?       S    2:50 syslogd -m 0
  342 ?       S    0:00 klogd
  359 ?       S    0:00 portmap
  387 ?       SW    0:00 [lockd]
  388 ?       SW    0:00 [rpciod]
  398 ?       SW    0:00 [rpc.statd]
  415 ?       SW    0:00 [apmd]
  491 ?       S    0:00 identd -e -o
  495 ?       S    0:00 identd -e -o
  496 ?       S    0:00 identd -e -o
  503 ?       S    0:00 identd -e -o
  505 ?       S    0:00 identd -e -o
  512 ?       S    0:00 /usr/sbin/atd
  529 ?       S    0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
  541 ?       S    0:02 /usr/sbin/sshd
  595 ?       S    0:00 sendmail: accepting connections

Signal 17 caught by ps (procps version 2.0.7).

orphen · 发表于 2004-10-7 21:23:27

如果被入侵，那么ps，netstat，top，mount，ls，等等一些常用工具都是不可靠的，很可能被换成了“特洛伊版”。
可以从其他正常机器上将这些工具拷贝过来使用。
但是，如果被安装了rootkit，或是LKM，则这些工具也无法显示被隐藏的信息，使用chkrootkit检查一下吧。
但是，最安全的方法还是重装系统。

		自动登录	找回密码
密码			注册

我被人攻擊,我該怎麼辦??

浏览过的版块