系统安全日志清理/var/log/secure

rainbow

昨日发现一个redhat as 4.5的系统反应很慢， 登录上去发现很多异常的进程。

检查系统安全日志/var/log/secure时，发现日志空空如也， 缺省系统应该有登录日志的。

再检查发现我们正常登录的那个系统进程，如root      4412  2820  0 13:39 ?        00:00:00 sshd: root@pts/0 后面的command部分竟然是一个乱码（目前的环境变量可以正常显示中文的，不管是utf还是gbk都可以正常显示）

检查runlevel，正常时应该是N 3，此时系统却显示了unknown

马上修改了系统密码， 禁用了root的远程登录。

怀疑是否是被异常植入了什么程序，请教高手指点。

chenyx

检查下有没有可疑端口

jerryjzm

1，last ,lastlog
2.root 下 bash_history
注意

克拉玛依

原帖由 jerryjzm 于 2009-11-17 16:38 发表
1，last ,lastlog
2.root 下 bash_history
注意

能做到如LZ说的程度，这些东东就不必考虑了。

mentgmery

看看先

rainbow

请教一下哪里可以配置secure中记录登录日志呀？

nagaregawa

很像被入侵了