服务器被黑后如何查踪迹?

yoursmile

操作系统:rhel5

装了很多服务:sshd,telnetd,samba,squid,qmaild,vsftpd,httpd(有些是rhel5自带,有些是下载新的软件包后来重新编译的),还有gcc也装了.

这台服务器是网关,内网有100台电脑上网,均可以使用这台服务器上的帐号.外网禁止远程使用sshd,telnetd,vsftpd(通过/etc/hosts.deny设置ALL:ALL)

服务器上挂了2块硬盘,一块硬盘上分区是/,/var,/home,/swap,另一块硬盘是数据，挂在/home下.
现在的问题:
服务器突然死机了,屏幕上不停的打印:
eth0:Memory squeeze,dropping packet
eth1:Memory squeeze,dropping packet
printk:678 messages suppressed
Free swap=0kB
Total swap=1020116kB

DMA32:empty
Normal:empty
HighMem:empty重启后grub登陆界面出现，然后出现提示符grub>,说明已经找不到操作系统.

使用rhel恢复盘,发现硬盘上分区在，分区下目录除了通过ln连接的目录在(目录里的数据没有了)，其它所有目录和文件都已经不在.

通过ext3grep 恢复了硬盘上/,/home分区约1/3内容./var目录下恢复不了数据.

我的分析:服务器被黑客入侵,删除所有数据了.可能是服务器上的某个帐号有弱密码，黑客通过内网某台电脑，使用telnet登陆到服务器上,然后下载某些软件,提升权限,清空所有数据

问题:根据上面的情况,请教大家,我还能通过已经被清空数据的硬盘上找到一些蛛丝马迹吗?(比如把/var分区通过dd,把硬盘block数据导出来,通过winhex来分析).我很想知道黑客到底是通过什么方式入侵的，在服务器上做了哪些入侵动作?以后应该如何避免?如果不弄清具体原因，我实在担心下次黑客通过同样的手段继续来入侵.

还想请问大家,一般系统被攻击后，通过哪些文件能发现攻击过程?

[ 本帖最后由 yoursmile 于 2008-7-25 08:51 编辑 ]

timdcn

telnet太危险了，还是别开

timdcn

服务器被黑客入侵,删除所有数据了.可能是服务器上的某个帐号有弱密码，黑客通过内网某台电脑，使用telnet登陆到服务器上,然后下载某些软件,提升权限,清空所有数据

某个账号有root权限？不然怎么删除你所有的东西？

yoursmile

在内部交换式网络下，使用telnet应该没有什么大的问题吧

yoursmile

原帖由 timdcn 于 2008-7-25 08:57 发表
服务器被黑客入侵,删除所有数据了.可能是服务器上的某个帐号有弱密码，黑客通过内网某台电脑，使用telnet登陆到服务器上,然后下载某些软件,提升权限,清空所有数据

某个账号有root权限？不然怎么删除你所有的 ...

所有帐号除了root,其它都没有root权限.而且root一般很少登陆,并且密码很复杂，我认为不会是用root来登陆

我最大的怀疑是，用别的帐号登陆入,然后下载某些hacker软件,编译,(可能使用了某些软件的漏洞),提升权限

所以我很想知道,是通过哪个IP登陆的，用了哪个帐号

timdcn

我不明白可以ssh干嘛还telnet登陆；
你说的情况比较复杂，还是等高手来解释。

jerrywjl

获得信息的途径主要靠日志了。/var/log/message以及/var/log/secure，不过很难说黑客会删除这段期间的日志。
另外还有一个方法就是跑一个rpm -Va > rpm_Va，这样你就可以知道哪些不该改动的文件被改动了。

至于安全方面，唯有从下面几个方面考虑：
第一，尽量用防火墙屏蔽不必要服务；
第二，尽量不要使用telnet这种明文传输信息的服务；
第三，尽量设置root强密码，并且不允许root直接ssh登录；
第四，tcp_wrapper在很多时候可以保证使用服务的安全性，必要时可以使用；
第五，selinux，可以对root的一些操作做限制，不过前提是你对这个东西比较熟悉。

cuci

history，last等等系统命令

tripwire，nessus等等工具

yoursmile

原帖由 timdcn 于 2008-7-25 09:02 发表
我不明白可以ssh干嘛还telnet登陆；
你说的情况比较复杂，还是等高手来解释。

考虑到部分使用者没有装ssh客户端.

谢谢你的建议

streetboy85

telnet的传输没经过加密
ssh是经过加密传输的，安全性能好很多