LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1218|回复: 5

怎么知道别人是否进入过系统?

[复制链接]
发表于 2005-11-22 04:57:15 | 显示全部楼层 |阅读模式
我们公司的服务器用的是REDHAT和FEDORA。我们以前的系统管理员离开公司了,但是好象最近系统有点奇怪。以前的管理员有密码,当然我们已经换了。所以请高人帮帮忙看看,如何能够知道是否有人进入过系统?

先在此谢了!
发表于 2005-11-22 05:31:36 | 显示全部楼层
这个,就好像你怎么知道别人怎么去过你家一样。:)。

仔细的分析一下所有的log。比如authticate.log,daemon.log之类的。
apache的modules,ssh的public key登录等,都是可能的方法。

如果可能,重装系统,因为只要曾经拥有过管理员权限的人,可以在各个方面设置后门,几乎是没办法防的。
回复 支持 反对

使用道具 举报

发表于 2005-11-22 09:32:57 | 显示全部楼层
last
blast
再不行搞个IDS,嘿嘿
回复 支持 反对

使用道具 举报

发表于 2005-11-22 11:38:20 | 显示全部楼层
可以先去看看/var/log/messages文件。用grep来过滤一下pam_unix字段来看看登陆时间,或者是last来看看也可以。最好用个ng-syslog+mysql的方式来建立一个log系统,最后用个IDS来做一下就OK了。后面的防御方面的。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2005-11-22 14:14:52 | 显示全部楼层
非常感谢各位的帮助!我看了所有的LOG,但是所有的LOG都没有任何信息,因为早就清空了!连/root/.bash_history和/var/log/wtmp都没有了!当然,这些文件的删除是用cron的,cron的添加可能早就做好了。这些文件是在cron里的:
/root/.bash_history
/var/log/cron
/var/log/messages
/var/log/lastlog
/var/log/maillog
/var/log/secure
/var/log/wtmp
我现在想请高人帮忙看看,能不能看看有其他什么地方我能够找到蛛丝马迹?
回复 支持 反对

使用道具 举报

发表于 2005-11-22 22:05:30 | 显示全部楼层
有这个时间,还不如重装一个,把该备份的文件都备份一下。
除非你想测试是否真的被做了后门。那就装IDS吧。

不过还是坚持重装系统,也不是很难。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表