我的redhatlinux9被入侵！

kk_bird

原帖由 "初学摄影" 发表：


看一看置顶的精华贴分类索引,安全部分........

你的意思是让我重新做系统 按照安全部分，加强我系统的安全吗？

可是我想做的更安全些，但是我也想知道我被入侵的原因。不知道大家看了我给出的日志能否判断出这是linux的哪个漏洞？还是其他的什么问题？需要什么日志，我会给大家发上来的。诚心求助！

飘雪心辰

如果断网的损失能承受的话，马上断线。先分析日志，再用rpm -Va检查所有的包。接着网上再去找个chkrootkit的软件，追杀木马。升级内核和相关的RPM包。如果商业机密遭到损失，别忘了报警。
如果能恳定排除“入侵者”的轨迹，不必重装系统，最好是能重装系统，建议装个高版本的。

kk_bird

分析日志的方法 能说明一下吗？我自己查到的比较特殊的就是secure日志了，已经发上来了，还有apache的日志我也说明了，就是有个ip在创建rpmbase的用户的时间，访问过rpm目录，其他的日志不知道还需要怎么分析。rpm -Va这个命令我刚才用了一下，也没有什么特殊提示阿,其他的好象都正常，就有两个missing

1. missing /usr/sbin/nscd   missing  /usr/lib/libpq.so.2.0

复制代码

。升级内核 我不会啊，是不是好麻烦，能否赐教，另外你说升级相关rpm包，我现在不知道哪个是相关的啊。我已经报警了，但是警察也只没有告诉我原因就走了。另外你说的高版本linux是什么版本？能否告诉我。

最后感谢您的回帖！[/code]

初学摄影

[quote]原帖由 "kk_bird"]分析日志的方法 能说明一下吗？我自己查到的比较特殊的就是secure日志了，已经发上来了，还有apache的日志我也说明了，就是有个ip在创建rpmbase的用户的时间，访问过rpm目录，其他的日志不知道还需要怎么分析。rpm-v..........[/quote 发表：


方法就是不断学习,不断逛逛CU,逛逛安全论坛,及所用软件的官方网站.........

kk_bird

原帖由 "初学摄影" 发表：


方法就是不断学习,不断逛逛CU,逛逛安全论坛,及所用软件的官方网站.........

以后我会努力学习的，不过我现在最想知道的是当前的现象到底是什么引起的？
至于以后我应该怎样学习，我会在解决这个问题之后，虚心向您请教的。

hongfengyue

你提供了cgi网页吗？查看是否你的CGI有漏洞。
还有，你开启了那些服务？

kk_bird

原帖由 "hongfengyue" 发表：
你提供了cgi网页吗？查看是否你的CGI有漏洞。
还有，你开启了那些服务？

我没有cgi网页，但是cgi有没有漏洞我就不知道了，怎么能判断我的cgi是否启用了，

我的服务开了很多，除了我的apache mysql之外 有很多，我记不清楚了

有什么gpm cups iptables等 很多，我现在没办法都写出来，因为被侵入之后 关了不少了，我也忘记当时都开那些了。

platinum

贴一下时间在“May  5 04:52:20”左右的所有日志，这样你需要贴的就少多了

另外说一下你的网站都跑啥了，系统是什么，APACHE还是什么？是php嘛？版本多少？

总之你提供的信息太少了

kk_bird

apache2+php4+mysql  版本大概是那样 具体多少我就不知道，总之是linux9默认的，主要就是php网页 没做其他服务.

日志 我马上给你

platinum

呵呵，告诉你
apache低于2.0.50都有漏洞嫌疑
php低于4.3.10绝对有漏洞
mysql你不会现在还用3.x.x吧？
另外openssh低于3.7p1都有问题

你好好整整吧！