作者 主題: FC4被hack, 連root password也被改了  (閱讀 8169 次)

0 會員 與 1 訪客 正在閱讀本文。

chanraymond3

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 於: 2007-08-21 12:44 »
FC4被hack, 連root password也都改了, 網頁也被人修改為假信用咭網站, 死得很慘
安裝時已經裝了clamav, apf (只係放21, 22, 25, 43, 80) 也沒有用

我可以如何修改root的password?
我可以如何反追踪黑客呢?
我可以如何在server裡查閱黑客曾溜覽過的足踪?

這台server數月前已經被hack一次, 亦已重裝過, 現在又發生, 是否這粒IP有問題, 要轉另一個IP address?

湯姆貓

  • 活潑的大學生
  • ***
  • 文章數: 475
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #1 於: 2007-08-21 13:31 »
你應該先看看你的觀念正不正確吧.....

數個月前被hack過,重灌就等於不會再被hack??
我不認為換過一個IP後,同樣的事不會再發生....

就我的認知....
不該開的Port不要開....
不該對外IP開放連線的就不要開....
雖然做到以上的工作,我還是認為沒有主機是安全的...

所以應該要隨時注意自己的主機狀態,
一有漏洞消息發佈,就要馬上更新...

有人架系統架完就以為沒事了,
其實後續的維護才是最麻煩的...

湯姆貓

  • 活潑的大學生
  • ***
  • 文章數: 475
    • 檢視個人資料
Re: FC4被hack, 連root password也被改了
« 回覆 #2 於: 2007-08-21 13:33 »
引述: "chanraymond3"

我可以如何反追踪黑客呢?


至於你的問題......
太難了,可能得有黑客級水準的功力才能解答你吧....

chanraymond3

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #3 於: 2007-08-21 14:49 »
取回root密碼了

我現在從\var\log看看

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #4 於: 2007-08-21 15:34 »
第一步拔網路線,做了沒?

運氣好的話,history 可以找到曾經下過的命令。

chanraymond3

  • 可愛的小學生
  • *
  • 文章數: 23
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #5 於: 2007-08-21 16:43 »
在那裡可以看到相關的history?

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
FC4被hack, 連root password也被改了
« 回覆 #6 於: 2007-08-21 19:13 »
引述: "chanraymond3"
在那裡可以看到相關的history?

http://linux.vbird.org/linux_basic/0320bash.php

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #7 於: 2007-08-22 16:43 »
應該找為何會被 hack
若果已經關了沒用的 port, 系統賬戶沒有不安全的密碼等等...
若果做了這樣基本的東西, 要想的是會否軟件有漏洞
是否應該要 yum update
FC4, 可以的話, 用 centos 也是不錯的選擇

blueway757

  • 可愛的小學生
  • *
  • 文章數: 15
    • 檢視個人資料
FC4被hack, 連root password也被改了
« 回覆 #8 於: 2007-09-05 16:22 »
有概念的Hacker早把history指令記錄檔跟wtmp,utmp等相關記錄砍了!其他有su 權限的account當然也會被改掉!!重灌真的沒用,先換個版本修補漏洞為先!跟上面大大說的一樣沒用的port真的不要開~!網路安全一點都不安全

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
FC4被hack, 連root password也被改了
« 回覆 #9 於: 2007-09-05 16:37 »
FC4 是 2005-05-30 的時候釋出的。
至今也有兩年多,相關的更新應該要更勤勞的作才是。

被 Hack 後該怎麼作,我在另外一篇有寫過。
    主機下線,備份資料。
    準備新主機,更新OS系統,復原程式網頁資料庫等,重新上線。
    若有需要檢查,以離線的原主機進行 log 跟相關程式跟目錄的檢查,想辦法查出漏洞在哪。
    若有查出漏洞,則檢世新主機是否有相同問題,若有則修正。


重點在於,不要讓已經被黑掉得主機上線,應該是要用新主機,然後重新以新的OS最好比原來版本更新,設定環境跟重新Restore程式網頁資料庫後,儘速上線。
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

yuboking199

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
    • http://www.plonezone.cn
FC4被hack, 連root password也被改了
« 回覆 #10 於: 2007-09-06 15:03 »
似乎都没谈到设置iptables来阻止外部的入侵,试试看先作一下iptables只针对允许的ip开放一定的端口呢。
其他的关于看logs前面有高人说了我就不发表评论了