设为首页
收藏本站
用户名
Email
自动登录
找回密码
密码
登录
注册
快捷导航
平台
Portal
论坛
BBS
文库
项目
群组
Group
我的博客
Space
搜索
搜索
热搜:
shell
linux
mysql
本版
用户
LinuxSir.cn,穿越时空的Linuxsir!
»
论坛
›
运维技术 —— LinuxSir.cn
›
网络技术\网络安全讨论
›
高手指点:入侵分析
1
2
/ 2 页
返回列表
楼主:
Jackosn.K
高手指点:入侵分析
[复制链接]
Jackosn.K
Jackosn.K
当前离线
积分
136
IP卡
狗仔卡
楼主
|
发表于 2004-9-21 22:27:27
|
显示全部楼层
可能是密码泄漏,直接通过ssh进来的.
回复
支持
反对
使用道具
举报
显身卡
dancingpig
dancingpig
当前离线
积分
1525
IP卡
狗仔卡
发表于 2004-9-21 22:34:22
|
显示全部楼层
晕,2进直的文件不是不能删除
lrk就有对wtmp等2进只日志的修改
回复
支持
反对
使用道具
举报
显身卡
dancingpig
dancingpig
当前离线
积分
1525
IP卡
狗仔卡
发表于 2004-9-21 22:35:38
|
显示全部楼层
既然有root权限装个lkm你的系统基本也就完了。。。建议重装算了
我只是主观从楼住的给出信息来判断,最适合楼猪的解决方式,84轻视的意思。。。
回复
支持
反对
使用道具
举报
显身卡
Jackosn.K
Jackosn.K
当前离线
积分
136
IP卡
狗仔卡
楼主
|
发表于 2004-9-22 12:26:17
|
显示全部楼层
回楼上
有了rootkit 我可以分析出来的,至少从/proc就很直观。
“重装系统” 夸张!
回复
支持
反对
使用道具
举报
显身卡
dancingpig
dancingpig
当前离线
积分
1525
IP卡
狗仔卡
发表于 2004-9-22 15:58:56
|
显示全部楼层
为了你系统安全着想拉
如果生产时间允许系统重装的话,建议重装谁知道这是不是什么骗人的小把戏
谁知道是不是在什么地方给还藏了什么魔法东西
因为人家已经有了root权限,巩固root的方法多种多样,rootkit只是方法之一
所有的一切都要根据实际环境而定,如果条件不允许也只能做数
回复
支持
反对
使用道具
举报
显身卡
Jackosn.K
Jackosn.K
当前离线
积分
136
IP卡
狗仔卡
楼主
|
发表于 2004-9-23 12:31:31
|
显示全部楼层
谢谢提醒,
提供的服务不重要,主要是怕进入内网; 还好tripwire的结果正常
回复
支持
反对
使用道具
举报
显身卡
linky_fan
linky_fan
当前离线
积分
81
IP卡
狗仔卡
发表于 2004-9-26 08:14:19
|
显示全部楼层
不要太相信ssh,这个东西特定版本有缓冲区溢出漏洞的,你的/var/log/secure怎么样
回复
支持
反对
使用道具
举报
显身卡
包子
包子
当前离线
积分
511
IP卡
狗仔卡
发表于 2004-9-28 19:24:50
|
显示全部楼层
先重新编译新内核
这个时候才用tripwire等东西
再用挂静态工具检查
随便找个工具就可以处理last之类的log了
我推荐这个
http://www.xfocus.net/tools/200408/798.html
回复
支持
反对
使用道具
举报
显身卡
1
2
/ 2 页
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖后跳转到最后一页
Copyright © 2002-2023
LinuxSir.cn
(http://www.linuxsir.cn/) 版权所有 All Rights Reserved.
Powered by
RedflagLinux!
技术支持:
中科红旗
|
京ICP备19024520号
快速回复
返回顶部
返回列表
发表于 2004-9-22 15:58:56
|
显示全部楼层
IP卡
狗仔卡
楼主
显身卡