作者 主題: [討論]小弟的sendmail server被入侵了..請幫忙看一下謝謝!  (閱讀 5790 次)

0 會員 與 1 訪客 正在閱讀本文。

aloysius

  • 活潑的大學生
  • ***
  • 文章數: 403
    • 檢視個人資料
大家好..

   基本上,這台mail是小弟來公司前就架好的,之前的mis屬於架後不理型,架好後救自己看自己的書,也不太管server,最近小弟全公司的server都重新架設過了,除了這一台比較不太想重架設(因為防毒軟體試用趨勢的) :(
   今天早上在檢查主機時意外發現他會自動執行一個 /usr/bin/sa/sa 這個程式,檔案日期是去年的十一月二十五日....我懷疑是被入侵,但有些看不太懂,想請有經驗的大大幫我看一下,以下是檔案內容:

/usr/lib/sa/sa 每十分鐘執行一次!

#!/bin/sh
# /usr/lib/sa/sa1.sh
# (C) 1999,2000 Sebastien Godard <sebastien.godard@wanadoo.fr>
#
DATE=`date +%d`
ENDIR=/usr/lib/sa
DFILE=/var/log/sa/sa${DATE}
cd ${ENDIR}
if [ $# = 0 ]
then
   ${ENDIR}/sadc 1 1 ${DFILE}
else
   ${ENDIR}/sadc $* ${DFILE}
fi


/usr/lib/sa/sa2 每十分鐘執行一次!

#!/bin/sh
# /usr/lib/sa/sa2.sh
# (C) 1999,2000 Sebastien Godard <sebastien.godard@wanadoo.fr>
#
S_TIME_FORMAT=ISO ; export S_TIME_FORMAT
DATE=`date +%d`
RPT=/var/log/sa/sar${DATE}
ENDIR=/usr/bin
DFILE=/var/log/sa/sa${DATE}
cd ${ENDIR}
${ENDIR}/sar $* -f ${DFILE} > ${RPT}
find /var/log/sa \( -name 'sar*' -o -name 'sa*' \) -mtime +7 -exec rm -f {} \;

還有一個 sadc的檔案邊過碼,看不懂...
他會產生一些奇怪的檔案在 /var/log/sa/*
進去看也不太懂,請問這大概是甚麼情形呢?謝謝大家... :o

gol4302

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
不是被入侵吧
man sa2 看看

aloysius

  • 活潑的大學生
  • ***
  • 文章數: 403
    • 檢視個人資料
引述: "gol4302"
不是被入侵吧
man sa2 看看


 今天下班前才發現~虛驚一場~自己的實力待加強~謝謝您~真是慚愧~ :oops: