→ kdjf: 先看看sshd的checksum對不對吧... 第一次聽到這種判斷法 02/12 13:59
※ 編輯: peter308 (140.115.30.19), 02/12/2015 14:50:56
→ peter308: 我剛才檢查了 md5sum 跟其他一樣版本電腦的值不一樣 02/12 15:13
→ abarrychen: deny ALL:ALL? 02/12 15:18
→ peter308: tcpwrapper 目期沒有作用 02/12 15:23
→ peter308: 我deny all 的但我還是可以log in 02/12 15:23
→ peter308: /usr/sbin 下多了 很多 sshd;503dd81d 之類的檔案 02/12 15:24
→ bitlife: 看看那個sshd;503dd81d是否和正常機大小和md5一樣,有可能 02/12 16:05
→ bitlife: 是原版的備份,做為入侵繞道後的出口讓其他使用者不察覺 02/12 16:06
→ bitlife: 若是先用那個蓋掉目前的sshd(看你要不要先留入侵檔備份) 02/12 16:07
→ bitlife: 但連tcpwrapper都異常,可能太多入侵途徑,或許先離線把系 02/12 16:08
→ bitlife: 統搞定(備份資料+重灌+上安全修正檔等)再上線才是上策 02/12 16:09
我先把他下線了
推 chang0206: 剛閃過一個想法,不曉得有沒有可能在這種時候安裝一些 02/12 16:26
→ chang0206: 軟體,可以把內建的系統指令換掉,像是一定會用到的 02/12 16:27
→ chang0206: cd ls cat 這些換成可以記錄駭客資訊的版本? 02/12 16:27
→ kdjf: 你該看的是和自己發行版安裝的版本的checksum,debian在 02/12 23:39
→ kdjf: /var/lib/dpkg/info/openssh-server.md5sums 02/12 23:40
→ kdjf: 真的被入侵的話至少把所有的package重裝一次吧,不然也可以用 02/12 23:43
→ kdjf: script檢查一下有哪些binary己經中了 02/12 23:44
完全沒概念要怎麼弄耶,能否提示一下???
※ 編輯: peter308 (140.115.30.19), 02/13/2015 13:03:21
※ 編輯: peter308 (140.115.30.19), 02/13/2015 13:03:53
推 rickieyang: 如果沒概念該怎麼查,那資料備一備,重裝比較保險。 02/13 18:18
→ rickieyang: 難保不會漏了什麼後門沒補。 02/13 18:18
→ kpier2: 老實說,練習備份跟重灌也是必經之路 02/13 20:03
推 NGCat: 除非很有時間慢慢查,不然建議直接重灌,不用半天就搞定了 02/17 12:11
→ NGCat: 弄一顆新硬碟重灌,將就硬碟MOUNT在下面班設定與資料最快 02/17 12:12
→ NGCat: 當然,新灌好之後,一些安全設定要記得做。 02/17 12:13