我的redhat AS 4.6被入侵了，请问怎么查看日志

hackmail

我几天没有登录服务器，突然密码被人改掉了，于是就用单用户模式进入修改了回来，但是里面已经面目全非了，被别人入侵了之后下载了很多其它东西。还删了我一些文件，我这台是Qmail服务器，请问如何查找别人入侵进来干了些什么以及IP地址？

我在改回密码第一次登录的时候，提示上次登录的IP，我查了一下是美国的，可能被美国人入侵了。里面还下载了很多英文版XP的补订程序。

old-cow

ssh 登录？ 你的密码被人猜到了？还是其他？太xxx了吧。

xi2008wang

>>请问如何查找别人入侵进来干了些什么以及IP地址？
查看
/var/log/message 日志
/root/.bash_history  操作记录

>>里面还下载了很多英文版XP的补订程序


[ 本帖最后由 xi2008wang 于 2008-9-6 23:51 编辑 ]

xi2008wang

帮你整理了下被入侵后应该怎么做:

一, 第一时间
断开网络,防止事情进一步恶化, 如被挂马
立即将关键服务转移到临时服务器上, 因为即使有一个静态页面也比没有好

二,入侵分析, 找出原因
1.查看系统日志/var/log/messages
2.查看历史操作/root/.bash_history
3.查看最近登录last
4.查看最近修改文件find, 重点/root, /tmp
5.查看/etc/passwd密码文件
6.查看cron任务
7.用netstat查看新开的端口
8.用最新工具查杀木马, rootkit程序
9.查看各种服务日志:ssh, http, mail日志

三, 安全加固
1.更新补丁, 或重装最新的系统
2.使用防火墙实施最大化安全策略, 只开要使用的端口,并且仅对要使用的人开放
3.入侵测试
4.加大安全监控

[ 本帖最后由 xi2008wang 于 2008-9-6 15:31 编辑 ]

old-cow

我很想知道是通过什么来登录的，ssh ？

zhangziyu

不是美国入侵的 是用代理的！！！

hackmail

只能用SSH登录，我这台是邮件服务器。通过.bash_history查看最后一条命令为passwd

无声无息

你是使用key的方式登陆吗？

这个事情有点大了，不是web被挂马这么简单了，是不是其他漏洞被利用了？？

yueliangdao0608

原帖由 kelzz 于 2008-9-8 15:57 发表
估计装了rootkit了，快查查吧

给说说咋回事吧，哥们。