主題: 個人主機出現不明檔案.DCOPserver...

[任]

我使用Mandrake8.1
在/home/username下出現一個紅底白字閃動的檔案連結
因為用長格式看
前端為 lrwxrwxrwx    DCOPserver.主機Domain  ->/home/username/.DCOPserver.主機Domain_:0

而被連結到的檔案只有user權限
看來像是一個後門,另一套上課用的Mandrake8.1系統下亦出現兩個相似檔案, 一個是教室的主機代號另一個是伺服器代號

看像子不妙, 每次重開機都出現 / 的unclear unmount的訊息,

可能想用我的平台做攻擊跳板

不過現在我該怎麼辨才好?全碟通殺嗎?

[kenny]

在不能確定移除所有後門和修復設定的情況下﹐建議重灌﹐並從‘乾淨’的備份還原。

[任]

DCOPserver經查是一個程式與程式間溝通的服務server。
紅底白字是因為連結不存在, 要開了Xwindow被指向的檔才會出現
淡藍色的檔案是連結lrwxrwxrwx屬性並不能用chmod修改，而任一檔案的連結都是這種屬性。
----------------------------------------------------------------------------------
說錯了，請指正我。有否被侵入我不知道，但是之前的認知顯然錯誤。

[Ken]

在還沒重灌之前想瞭解一下紅底白字是什麼檔案類型？
----------------------------------------------------------------------------------
當我刪除掉或修改這兩個檔的以後，再進入Xwindow關機後又復原了
而且在Xwindow打開後顏色變成了水藍色，而被指向的檔案也出現了
Xwindow一關閉則回復成紅底白字，至於水藍色的連結並不能用chmod修改權限
全部都是777，那麼DCOPserver是什麼??一個Xwindow下的服務嗎？
而之前的確有出現過系統安全警告，內容不大記得，
大致上是說有一群檔案開放了root的讀寫權限給其他user，這是不安全的云云
最後一行訊息有
belong to Nobody(99)
而實際去找最後執行的檔案是s開頭的橘色檔案, root去執行仍出現Permiison Deny的字樣。
-----------------------------------------------------------------------------------
懷疑並不見得就是事實，前輩是如何知道被入侵的。如何查起？

紅底白字 是個死了的sybolis link.
DCOP好像是KDE的東東,不過詳細的不太清楚,沒有多用過X-Window....