超恐怖的，被人入侵的迹象

abby

发现某目录里面有testdir0 testdir1等目录，每个目录里面有一堆文件：
#ls testdir0
000abcdefghijklmn  011abcdefghijklmn  022abcdefghijklmn  033abcdefghijklmn
001abcdefghijklmn  012abcdefghijklmn  023abcdefghijklmn  034abcdefghijklmn
002abcdefghijklmn  013abcdefghijklmn  024abcdefghijklmn  035abcdefghijklmn
003abcdefghijklmn  014abcdefghijklmn  025abcdefghijklmn  036abcdefghijklmn
004abcdefghijklmn  015abcdefghijklmn  026abcdefghijklmn  037abcdefghijklmn
005abcdefghijklmn  016abcdefghijklmn  027abcdefghijklmn  038abcdefghijklmn
006abcdefghijklmn  017abcdefghijklmn  028abcdefghijklmn  039abcdefghijklmn
007abcdefghijklmn  018abcdefghijklmn  029abcdefghijklmn  dir
008abcdefghijklmn  019abcdefghijklmn  030abcdefghijklmn  lin
009abcdefghijklmn  020abcdefghijklmn  031abcdefghijklmn  rename1
010abcdefghijklmn  021abcdefghijklmn  032abcdefghijklmn  sym

google一下，看见只有一个老外问过这个问题，而且是2001年的事了，没有人回答。
希望不是被入侵。暂时保留那些目录，看如果有没有进一步行动。

如果知道原因的大侠请回复一下。

孙光旭

有点像是穷举，最好禁止远程登陆

abby

请问大侠，它会是哪个服务进程生成的呢？ssh?

Snoopy

testdir0 testdir1是在root目录下还是在普通用户下 ？

可以猜测的是，对方有你系统普通用户的帐号密码，并且登陆了，想用字典来破解root

abby

dump-utmp /var/run/utmp
不见有普通用户登录。
是在普通目录生成的文件，但同样经历的老外却是在root用户目录中出现的。

其实很怀疑有些我们认为安全的软件，作者本身想作些后门这种可能－－我没能力确切查出哪个软件。例如bash这类。

hahayu

下载个checkrootkit工具检查一下，看看有没有被改动的文件。

Dragonsoar

最初由 abby 发表
dump-utmp /var/run/utmp
不见有普通用户登录。
是在普通目录生成的文件，但同样经历的老外却是在root用户目录中出现的。

其实很怀疑有些我们认为安全的软件，作者本身想作些后门这种可能－－我没能力确切查出哪个软件。例如bash这类。

不会吧，那全世界那么高手，他敢这样做？

zonzi

看上去像穷举

kofj

难道是硬盘恶意填充程序？
专门消耗硬盘空间的

Yuri

重装得了.