由 bingol 在 09-25-2004 08:10 发表:
我被人攻擊,我該怎麼辦??
今天早我進入郵件服務器的時候,發現一個問題:用w查看的時候沒有竟然一個用戶都沒有,/var/log/secure,這個文件不見啦!!!!真的很慘.....
請教高手們,我現在需要怎樣做才能恢復w這個功能???
由 David 在 09-25-2004 09:37 发表:
你还可以看到哪些文件? Server 还能运行吗?
由 bingol 在 09-25-2004 11:53 发表:
可以運行,也可以收發郵件,但是我用ps -aux的時候就會有提示:Signal 17 caught by ps (procps version 2.0.7).
Please send bug reports to
1<[email protected]>
2
3我到redhat去查看啦,說可以是被黑掉啦.
4
5
6
7
8* * *
9
10
11_由 Snoopy 在 10-04-2004 21:25 发表:_
12
13
14
15****
16
17
18
19
20
21你怎么发现是被人家黑的,只因为这个文件 ? 还是系统本身问题 ? 检查一下先
22
23__________________
24
25And then in the evening light, when the bars of freedom fall
26
27I watch the two of you in the shadows on the wall
28
29How in the darkness steals some of the choices from my hand
30
31Then will I begin to under
32
33
34
35
36* * *
37
38
39_由 rori 在 10-05-2004 10:29 发表:_
40
41
42
43****
44
45
46
47
48
49。。。。
50
51__________________
52
53一切从基础开始
54
55
56
57
58* * *
59
60
61_由 bingol 在 10-07-2004 08:15 发表:_
62
63
64
65****
66
67
68
69
70
71斑竹....我可以確定是被人黑了.因為secure是一個系統日志,記錄著最近一個星期內所有人進入服務器所做的事情.用ps ax來查看的確是有人rm了我的一些文件.隨便問下touch這個命令,應該怎樣用?謝謝
72
73
74
75
76* * *
77
78
79_由 Snoopy 在 10-07-2004 13:35 发表:_
80
81
82
83****
84
85
86
87
88
89touch bingol
90
91__________________
92
93And then in the evening light, when the bars of freedom fall
94
95I watch the two of you in the shadows on the wall
96
97How in the darkness steals some of the choices from my hand
98
99Then will I begin to under
100
101
102
103
104* * *
105
106
107_由 faint 在 10-07-2004 15:29 发表:_
108
109
110
111****
112
113
114
115
116
117使用touch 通常会更新ctime的,但是对于一个已经攻入root帐号的人来说,没有理由在使用touch的同时不更改系统时间。这样,ctime就不可靠了。
118
119
120
121备份数据,重装系统,慢慢恢复数据,加载系统安全:-)
122
123
124
125
126* * *
127
128
129_由 bingol 在 10-07-2004 21:14 发表:_
130
131
132
133****
134
135
136
137
138
139把這個東東貼出來大家幫忙看一下,他對我做了一些什麼,或者他是怎麼進來的!!!麻煩啦!~
140
141######################################################################
142
143
144
145[root@lx1 ~]# ps ax
146
147PID TTY STAT TIME COMMAND
148
1491 ? S 0:05 init [3]
150
1512 ? SW 0:00 [kflushd]
152
1533 ? SW 0:01 [kupdate]
154
1554 ? SW 0:00 [kpiod]
156
1575 ? SW 0:00 [kswapd]
158
1596 ? SW< 0:00 [mdrecoveryd]
160
16181 ? T 0:00 rm -f /etc/mtab~ /etc/mtab~~
162
16388 ? T 0:00 rm -f /lib/modules/preferred
164
16590 ? T 0:00 rm -f /lib/modules/default
166
167124 ? S 0:10 touch /var/lock/subsys/kudzu
168
169233 ? T 0:00 rm -f *
170
171239 ? Z 0:00 [rm <defunct>]
172
173332 ? S 2:50 syslogd -m 0
174
175342 ? S 0:00 klogd
176
177359 ? S 0:00 portmap
178
179387 ? SW 0:00 [lockd]
180
181388 ? SW 0:00 [rpciod]
182
183398 ? SW 0:00 [rpc.statd]
184
185415 ? SW 0:00 [apmd]
186
187491 ? S 0:00 identd -e -o
188
189495 ? S 0:00 identd -e -o
190
191496 ? S 0:00 identd -e -o
192
193503 ? S 0:00 identd -e -o
194
195505 ? S 0:00 identd -e -o
196
197512 ? S 0:00 /usr/sbin/atd
198
199529 ? S 0:00 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid
200
201541 ? S 0:02 /usr/sbin/sshd
202
203595 ? S 0:00 sendmail: accepting connections
204
205
206
207
208
209Signal 17 caught by ps (procps version 2.0.7).
210
211
212
213
214* * *
215
216
217_由 orphen 在 10-07-2004 21:23 发表:_
218
219
220
221****
222
223
224
225
226
227如果被入侵,那么ps,netstat,top,mount,ls,等等一些常用工具都是不可靠的,很可能被换成了“特洛伊版”。
228
229可以从其他正常机器上将这些工具拷贝过来使用。
230
231但是,如果被安装了rootkit,或是LKM,则这些工具也无法显示被隐藏的信息,使用chkrootkit检查一下吧。
232
233但是,最安全的方法还是重装系统。
234
235__________________
236
2372.6.9-nitro3+KDE3.3.1+ReiserFS+Reiser4+xorg-x11-6.8.1
238
239AMD Athlon-TBird 1.2G
240
241SamSung DDR266 512MB
242
243ST 5400 40GB
244
245ATI Radeon LE
246
247ADSL 512K
248
249
250
251
252* * *
253
254
255_由 faint 在 10-07-2004 23:57 发表:_
256
257
258
259****
260
261
262
263
264
265估计那些二进制文件都被搞过了。。ps的结果可能不准确了。况且,出现了那么多的rm -f。
266
267
268
269
270* * *
271
272
273_由 bingol 在 10-08-2004 10:07 发表:_
274
275
276
277****
278
279
280
281
282
283> quote:
284>
285> * * *
286>
287> _最初由 faint 发表_
288>
289> **使用touch 通常会更新ctime的,但是对于一个已经攻入root帐号的人来说,没有理由在使用touch的同时不更改系统时间。这样,ctime就不可靠了。
290>
291>
292>
293> 备份数据,重装系统,慢慢恢复数据,加载系统安全:-) **
294>
295> * * *
296
297
298
299
300
301faint兄,請問更改系統時間的目的是想做什麼呢,或者是這樣做起到什麼用?各方面的備份我都做好了,我只想知道他是怎麼進來的,有什麼漏洞以便加載系統的安全!~
302
303
304
305
306* * *
307
308
309_由 bingol 在 10-08-2004 10:14 发表:_
310
311
312
313****
314
315
316
317
318
319這是/var/log/secure 請大家幫我看看這是什麼攻擊,他是不是在猜root的密碼,ip是動態偽裝的嗎?
320
321
322
323======================================================================
324
325
326
327Oct 3 21:22:39 lx1 sshd[21122]: Could not reverse map address 222.122.13.147.
328
329Oct 3 21:22:41 lx1 sshd[21122]: Failed password for test from 222.122.13.147 port 43605 ssh2
330
331Oct 3 21:22:41 lx1 sshd[21122]: Received disconnect from 222.122.13.147: 11: Bye Bye
332
333Oct 3 21:22:42 lx1 sshd[21123]: input_userauth_request: illegal user guest
334
335Oct 3 21:22:42 lx1 sshd[21123]: Could not reverse map address 222.122.13.147.
336
337Oct 3 21:22:42 lx1 sshd[21123]: Failed password for illegal user guest from 222.122.13.147 port 44063 ssh2
338
339Oct 3 21:22:42 lx1 sshd[21123]: Received disconnect from 222.122.13.147: 11: Bye Bye
340
341Oct 3 21:22:43 lx1 sshd[21124]: input_userauth_request: illegal user admin
342
343Oct 3 21:22:43 lx1 sshd[21124]: Could not reverse map address 222.122.13.147.
344
345Oct 3 21:22:43 lx1 sshd[21124]: Failed password for illegal user admin from 222.122.13.147 port 44114 ssh2
346
347Oct 3 21:22:43 lx1 sshd[21124]: Received disconnect from 222.122.13.147: 11: Bye Bye
348
349Oct 3 21:22:44 lx1 sshd[21125]: input_userauth_request: illegal user admin
350
351Oct 3 21:22:45 lx1 sshd[21125]: Could not reverse map address 222.122.13.147.
352
353Oct 3 21:22:45 lx1 sshd[21125]: Failed password for illegal user admin from 222.122.13.147 port 44166 ssh2
354
355Oct</defunct></[email protected]>