酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: chanraymond3 於 2007-08-21 12:44

主題: FC4被hack, 連root password也被改了
作者: chanraymond32007-08-21 12:44
FC4被hack, 連root password也都改了, 網頁也被人修改為假信用咭網站, 死得很慘
安裝時已經裝了clamav, apf (只係放21, 22, 25, 43, 80) 也沒有用

我可以如何修改root的password?
我可以如何反追踪黑客呢?
我可以如何在server裡查閱黑客曾溜覽過的足踪?

這台server數月前已經被hack一次, 亦已重裝過, 現在又發生, 是否這粒IP有問題, 要轉另一個IP address?
主題: FC4被hack, 連root password也被改了
作者: 湯姆貓2007-08-21 13:31
你應該先看看你的觀念正不正確吧.....

數個月前被hack過,重灌就等於不會再被hack??
我不認為換過一個IP後,同樣的事不會再發生....

就我的認知....
不該開的Port不要開....
不該對外IP開放連線的就不要開....
雖然做到以上的工作,我還是認為沒有主機是安全的...

所以應該要隨時注意自己的主機狀態,
一有漏洞消息發佈,就要馬上更新...

有人架系統架完就以為沒事了,
其實後續的維護才是最麻煩的...
主題: Re: FC4被hack, 連root password也被改了
作者: 湯姆貓2007-08-21 13:33
引述: "chanraymond3"

我可以如何反追踪黑客呢?


至於你的問題......
太難了,可能得有黑客級水準的功力才能解答你吧....
主題: FC4被hack, 連root password也被改了
作者: chanraymond32007-08-21 14:49
取回root密碼了

我現在從\var\log看看
主題: FC4被hack, 連root password也被改了
作者: jou2007-08-21 15:34
第一步拔網路線,做了沒?

運氣好的話,history 可以找到曾經下過的命令。
主題: FC4被hack, 連root password也被改了
作者: chanraymond32007-08-21 16:43
在那裡可以看到相關的history?
主題: FC4被hack, 連root password也被改了
作者: darkranger2007-08-21 19:13
引述: "chanraymond3"
在那裡可以看到相關的history?

http://linux.vbird.org/linux_basic/0320bash.php
主題: FC4被hack, 連root password也被改了
作者: paulso2007-08-22 16:43
應該找為何會被 hack
若果已經關了沒用的 port, 系統賬戶沒有不安全的密碼等等...
若果做了這樣基本的東西, 要想的是會否軟件有漏洞
是否應該要 yum update
FC4, 可以的話, 用 centos 也是不錯的選擇
主題: FC4被hack, 連root password也被改了
作者: blueway7572007-09-05 16:22
有概念的Hacker早把history指令記錄檔跟wtmp,utmp等相關記錄砍了!其他有su 權限的account當然也會被改掉!!重灌真的沒用,先換個版本修補漏洞為先!跟上面大大說的一樣沒用的port真的不要開~!網路安全一點都不安全
主題: FC4被hack, 連root password也被改了
作者: Darkhero2007-09-05 16:37
FC4 是 2005-05-30 的時候釋出的。
至今也有兩年多,相關的更新應該要更勤勞的作才是。

被 Hack 後該怎麼作,我在另外一篇有寫過。


重點在於,不要讓已經被黑掉得主機上線,應該是要用新主機,然後重新以新的OS最好比原來版本更新,設定環境跟重新Restore程式網頁資料庫後,儘速上線。
主題: FC4被hack, 連root password也被改了
作者: yuboking1992007-09-06 15:03
似乎都没谈到设置iptables来阻止外部的入侵,试试看先作一下iptables只针对允许的ip开放一定的端口呢。
其他的关于看logs前面有高人说了我就不发表评论了