我被人攻擊,我該怎麼辦??

faint

估计那些二进制文件都被搞过了。。ps的结果可能不准确了。况且，出现了那么多的rm -f。

bingol

最初由 faint 发表
使用touch 通常会更新ctime的，但是对于一个已经攻入root帐号的人来说，没有理由在使用touch的同时不更改系统时间。这样，ctime就不可靠了。

备份数据，重装系统，慢慢恢复数据，加载系统安全:-)

faint兄,請問更改系統時間的目的是想做什麼呢,或者是這樣做起到什麼用?各方面的備份我都做好了,我只想知道他是怎麼進?淼,有什麼漏洞以便加載系統的安全!~

bingol

這是/var/log/secure 請大家幫我看看這是什麼攻擊,他是不是在猜root的密碼,ip是動態偽裝的嗎?

======================================================================

Oct  3 21:22:39 lx1 sshd[21122]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:41 lx1 sshd[21122]: Failed password for test from 222.122.13.147 port 43605 ssh2
Oct  3 21:22:41 lx1 sshd[21122]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:42 lx1 sshd[21123]: input_userauth_request: illegal user guest
Oct  3 21:22:42 lx1 sshd[21123]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:42 lx1 sshd[21123]: Failed password for illegal user guest from 222.122.13.147 port 44063 ssh2
Oct  3 21:22:42 lx1 sshd[21123]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:43 lx1 sshd[21124]: input_userauth_request: illegal user admin
Oct  3 21:22:43 lx1 sshd[21124]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:43 lx1 sshd[21124]: Failed password for illegal user admin from 222.122.13.147 port 44114 ssh2
Oct  3 21:22:43 lx1 sshd[21124]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:44 lx1 sshd[21125]: input_userauth_request: illegal user admin
Oct  3 21:22:45 lx1 sshd[21125]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:45 lx1 sshd[21125]: Failed password for illegal user admin from 222.122.13.147 port 44166 ssh2
Oct  3 21:22:45 lx1 sshd[21125]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:45 lx1 sshd[21126]: input_userauth_request: illegal user user
Oct  3 21:22:46 lx1 sshd[21126]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:46 lx1 sshd[21126]: Failed password for illegal user user from 222.122.13.147 port 44216 ssh2
Oct  3 21:22:46 lx1 sshd[21126]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:47 lx1 sshd[21127]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:49 lx1 sshd[21127]: Failed password for root from 222.122.13.147 port 44255 ssh2
Oct  3 21:22:49 lx1 sshd[21127]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:50 lx1 sshd[21128]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:53 lx1 sshd[21128]: Failed password for root from 222.122.13.147 port 44398 ssh2
Oct  3 21:22:53 lx1 sshd[21128]: Received disconnect from 222.122.13.147: 11: Bye Bye
Oct  3 21:22:54 lx1 sshd[21129]: Could not reverse map address 222.122.13.147.
Oct  3 21:22:56 lx1 sshd[21129]: Failed password for root from 222.122.13.147 port 44528 ssh2
Oct  3 21:22:56 lx1 sshd[21129]: Received disconnect from 222.122.13.147: 11: Bye Bye

hongfeng

是的，有人在猜测你的密码。我建议将ssh配置成只允许key才可以登录的。如果一定要使用PASSWORD来登录你的密码最好比较复杂。
然后限制不断尝试的IP，限制合法网段的地址访问。启用Iptables。
你可以查看你的ps命令是否被替换的方法是：
#rpm -qVf /pach to command

bingol

最初由 hongfeng 发表
是的，有人在猜测你的密码。我建议将ssh配置成只允许key才可以登录的。如果一定要使用PASSWORD来登录你的密码最好比较复杂。
然后限制不断尝试的IP，限制合法网段的地址访问。启用Iptables。
你可以查看你的ps命令是否被替换的方法是：
#rpm -qVf /pach to command

謝謝啦!~ 他是不是通過不同的端口?聿挛业拿艽a?這樣做可以達到什麼樣的效果?