LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 835|回复: 6

服务器被入侵了????

[复制链接]
发表于 2005-9-19 20:17:56 | 显示全部楼层 |阅读模式
我的服务器是RED HAT LINUX AS 4, 安装的时候选择全部软件安装, 做了一些基本的安全设置, 只对外开了HTTP和SSH服务. 一切似乎正常, 然而今天晚上登陆上去的时候运行w命令的时候,竟然看到了root在线,而我却不是用root登陆的(一般是用普通账号登陆然后再su -)! w运行的结果如下:

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
willson  pts/1    218.20.60.61     19:56    0.00s  0.01s  0.00s w
root     pts/2    -                          19:31   25:57   0.02s  0.02s -bash

问几个问题:
1, 日志文件secure并没有显示出这个root的登陆记录,只是在附近的时间段有一条记录:
Sep 19 17:14:25 gecronix sshd[13661]: subsystem request for sftp
不知道是什么意思.

2, 这个root的IP没有显示,并从pts登陆, 而且还IDLE了将近25分钟,他到底在干吗?

3, 可以将这个root强制注销吗? 是不是已经被入侵了? 应该怎么补救???

谢谢各位了.
发表于 2005-9-20 11:00:24 | 显示全部楼层
我也有点迷惑,没有来源,到现在为止我只知道本地终端登录的没有来源,但本地登录终端不应该是pts/2。
楼主能不能把message,secure,wtmp的日志文件贴出来,根据你贴上来的一条记录看,他通过SSH传过文件。
转到root用户,第一修改密码,第二,用rpm -Va > verify校验rpm包数据,第三,你可找第三方的查木马的软件,比如chkrootkit 。
WEB上跑的是纯静态的网页,还是什么脚本,是什么应用?
回复 支持 反对

使用道具 举报

发表于 2005-9-22 23:32:02 | 显示全部楼层
两位达人请教了:
我经常用w命令也看到pts/0  pts/1请问这是什么意思呢?
并且在/etc/securetty里,
vc/1 tty1又是什么意思呢?
回复 支持 反对

使用道具 举报

发表于 2005-9-23 14:27:13 | 显示全部楼层
pts是以ssh登录就是打开这个。
tty是在控制台登录的。
回复 支持 反对

使用道具 举报

发表于 2005-9-23 17:09:49 | 显示全部楼层
不耻下问:vc/1是什么意思?呵呵
回复 支持 反对

使用道具 举报

发表于 2005-9-28 22:26:33 | 显示全部楼层
你可以kill掉那个root 的bash的 UID
回复 支持 反对

使用道具 举报

发表于 2005-9-28 23:23:08 | 显示全部楼层
you should change a complex root password, and patch the system
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表