酷!學園

技術討論區 => Linux 討論版 => 主題作者是: norman07 於 2003-08-03 23:51

主題: [問題]我是不是被入侵了?
作者: norman072003-08-03 23:51
請教個位大大幾個問題,小弟手邊有兩台RH 9.0,都是在跑 Openwebamil 2.10 而已,但這幾天發現幾個奇怪的問題!! 1.因為我是用浮動IP的ADSL所以在動態DNS上有一個 Client 軟體,這幾天常常會發生這軟體會自己停用,導致我在外面無法跟它連線!!  2. 我在其中一台主機的文字模式下發現一些我沒有執行過的指令.  3. 我已設定 root 無法在遠端用 SSH 登入, 但沒用 !! root 還是可以直接進入!!  請問我這是被入侵了嗎 ? 如何知道先前有哪些 IP 進來過呢 ??
主題: [問題]我是不是被入侵了?
作者: zoob2003-08-04 00:02
代碼: [選擇]
last root
主題: [問題]我是不是被入侵了?
作者: harrier2003-08-04 09:53
查查 history & /var/log/ 下的記錄。用 find 清查近期異動過的檔
案,並檢查 /tmp/、/usr/local/ 等目錄裡面有無出現你不知道的軟
體套件。

不過,一位稍有程度的怪客,是不會留下這些證據的。

檢查 /bin/、/sbin/、/usr/bin/、/usr/sbin/ 等目錄下的檔案,
用 lsattr 查看,正常狀況下不該出現特殊旗標。

一但發覺事有蹊翹,請先離線,最好是重新安裝,然後安裝 patch,
關掉不必要的服務。

已被入侵後,除了離線檢查之外,沒有其它更安全的辦法。