作者 主題: [問題]我是不是被入侵了?  (閱讀 1429 次)

0 會員 與 1 訪客 正在閱讀本文。

norman07

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
[問題]我是不是被入侵了?
« 於: 2003-08-03 23:51 »
請教個位大大幾個問題,小弟手邊有兩台RH 9.0,都是在跑 Openwebamil 2.10 而已,但這幾天發現幾個奇怪的問題!! 1.因為我是用浮動IP的ADSL所以在動態DNS上有一個 Client 軟體,這幾天常常會發生這軟體會自己停用,導致我在外面無法跟它連線!!  2. 我在其中一台主機的文字模式下發現一些我沒有執行過的指令.  3. 我已設定 root 無法在遠端用 SSH 登入, 但沒用 !! root 還是可以直接進入!!  請問我這是被入侵了嗎 ? 如何知道先前有哪些 IP 進來過呢 ??

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
[問題]我是不是被入侵了?
« 回覆 #1 於: 2003-08-04 00:02 »
代碼: [選擇]
last root

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
[問題]我是不是被入侵了?
« 回覆 #2 於: 2003-08-04 09:53 »
查查 history & /var/log/ 下的記錄。用 find 清查近期異動過的檔
案,並檢查 /tmp/、/usr/local/ 等目錄裡面有無出現你不知道的軟
體套件。

不過,一位稍有程度的怪客,是不會留下這些證據的。

檢查 /bin/、/sbin/、/usr/bin/、/usr/sbin/ 等目錄下的檔案,
用 lsattr 查看,正常狀況下不該出現特殊旗標。

一但發覺事有蹊翹,請先離線,最好是重新安裝,然後安裝 patch,
關掉不必要的服務。

已被入侵後,除了離線檢查之外,沒有其它更安全的辦法。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>