|
|
操作系统:rhel5
装了很多服务:sshd,telnetd,samba,squid,qmaild,vsftpd,httpd(有些是rhel5自带,有些是下载新的软件包后来重新编译的),还有gcc也装了.
这台服务器是网关,内网有100台电脑上网,均可以使用这台服务器上的帐号.外网禁止远程使用sshd,telnetd,vsftpd(通过/etc/hosts.deny设置ALL:ALL)
服务器上挂了2块硬盘,一块硬盘上分区是/,/var,/home,/swap,另一块硬盘是数据,挂在/home下.
现在的问题:
服务器突然死机了,屏幕上不停的打印:
[color="Red"]eth0:Memory squeeze,dropping packet
eth1:Memory squeeze,dropping packet
printk:678 messages suppressed
Free swap=0kB
Total swap=1020116kB
DMA32:empty
Normal:empty
HighMem:empty
重启后grub登陆界面出现,然后出现提示符grub>,说明已经找不到操作系统.
使用rhel恢复盘,发现硬盘上分区在,分区下目录除了通过ln连接的目录在(目录里的数据没有了),其它所有目录和文件都已经不在.
通过ext3grep 恢复了硬盘上/,/home分区约1/3内容./var目录下恢复不了数据.
我的分析:服务器被黑客入侵,删除所有数据了.可能是服务器上的某个帐号有弱密码,黑客通过内网某台电脑,使用telnet登陆到服务器上,然后下载某些软件,提升权限,清空所有数据
问题:根据上面的情况,请教大家,我还能通过已经被清空数据的硬盘上找到一些蛛丝马迹吗?(比如把/var分区通过dd,把硬盘block数据导出来,通过winhex来分析).我很想知道黑客到底是通过什么方式入侵的,在服务器上做了哪些入侵动作?以后应该如何避免?如果不弄清具体原因,我实在担心下次黑客通过同样的手段继续来入侵.
还想请问大家,一般系统被攻击后,通过哪些文件能发现攻击过程? |
|
IP卡
狗仔卡
发表于 2008-7-25 10:01:11
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡