怎么知道别人是否进入过系统？

kickwu

我们公司的服务器用的是REDHAT和FEDORA。我们以前的系统管理员离开公司了，但是好象最近系统有点奇怪。以前的管理员有密码，当然我们已经换了。所以请高人帮帮忙看看，如何能够知道是否有人进入过系统？

先在此谢了！

晨想

这个，就好像你怎么知道别人怎么去过你家一样。：）。

仔细的分析一下所有的log。比如authticate.log,daemon.log之类的。
apache的modules，ssh的public key登录等，都是可能的方法。

如果可能，重装系统，因为只要曾经拥有过管理员权限的人，可以在各个方面设置后门，几乎是没办法防的。

dancingpig

last
blast
再不行搞个IDS，嘿嘿

piao_suxue

可以先去看看/var/log/messages文件。用grep来过滤一下pam_unix字段来看看登陆时间，或者是last来看看也可以。最好用个ng-syslog+mysql的方式来建立一个log系统，最后用个IDS来做一下就OK了。后面的防御方面的。

kickwu

非常感谢各位的帮助！我看了所有的LOG，但是所有的LOG都没有任何信息，因为早就清空了！连/root/.bash_history和/var/log/wtmp都没有了！当然，这些文件的删除是用cron的，cron的添加可能早就做好了。这些文件是在cron里的：
/root/.bash_history
/var/log/cron
/var/log/messages
/var/log/lastlog
/var/log/maillog
/var/log/secure
/var/log/wtmp
我现在想请高人帮忙看看，能不能看看有其他什么地方我能够找到蛛丝马迹？

晨想

有这个时间，还不如重装一个，把该备份的文件都备份一下。
除非你想测试是否真的被做了后门。那就装IDS吧。

不过还是坚持重装系统，也不是很难。