服务器被入侵了????

barble

我的服务器是RED HAT LINUX AS 4, 安装的时候选择全部软件安装, 做了一些基本的安全设置, 只对外开了HTTP和SSH服务. 一切似乎正常, 然而今天晚上登陆上去的时候运行w命令的时候，竟然看到了root在线,而我却不是用root登陆的(一般是用普通账号登陆然后再su -)! w运行的结果如下:

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
willson  pts/1    218.20.60.61     19:56    0.00s  0.01s  0.00s w
root     pts/2    -                          19:31   25:57   0.02s  0.02s -bash

问几个问题:
1, 日志文件secure并没有显示出这个root的登陆记录,只是在附近的时间段有一条记录:
Sep 19 17:14:25 gecronix sshd[13661]: subsystem request for sftp
不知道是什么意思.

2, 这个root的IP没有显示,并从pts登陆, 而且还IDLE了将近25分钟，他到底在干吗?

3, 可以将这个root强制注销吗? 是不是已经被入侵了? 应该怎么补救???

谢谢各位了.

qzhou9887

我也有点迷惑，没有来源，到现在为止我只知道本地终端登录的没有来源，但本地登录终端不应该是pts/2。
楼主能不能把message,secure,wtmp的日志文件贴出来，根据你贴上来的一条记录看，他通过SSH传过文件。
转到root用户，第一修改密码，第二，用rpm -Va > verify校验rpm包数据，第三，你可找第三方的查木马的软件，比如chkrootkit 。
WEB上跑的是纯静态的网页，还是什么脚本，是什么应用？

samwang

两位达人请教了：
我经常用w命令也看到pts/0  pts/1请问这是什么意思呢？
并且在/etc/securetty里，
vc/1 tty1又是什么意思呢？

hongfeng

pts是以ssh登录就是打开这个。
tty是在控制台登录的。

samwang

不耻下问：vc/1是什么意思？呵呵

learnin9

你可以kill掉那个root 的bash的 UID

gradetwo

you should change a complex root password, and patch the system