论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-11-28 10:44 |只看该作者 |倒序浏览

大家好,我们公司的LINUX服务器被攻击了.现状是/etc/passwd, /etc/shadow , /etc/group 三个文件在每个小时的10分都会被重写,也就是更改密码或新建用户以后,在每个小时的10分都会失效,哪位朋友能帮帮我吗.真的非常感谢!

文库|博客

剑次狼

大富大贵

论坛徽章:: 0

2楼 [报告]

发表于 2008-11-28 11:02 |只看该作者

检查PAM的密码认证设置以及crontab

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cuci

荣誉版主

论坛徽章:: 1

3楼 [报告]

发表于 2008-11-28 11:03 |只看该作者

偶来，怎么帮你

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

azailoveu2008

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2008-11-28 11:33 |只看该作者

不知道怎么检查PAM .能说得详细点吗
我检查了crontab好象没有问题啊.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

luo118

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2008-11-28 11:41 |只看该作者

检查 rc.loal 有没有加入特别的东西，
crontab 有没有加入特别的东西，
/etc/init.d/下面的服务，有没有给别人修改和绑定过
pstree
或ps aux 检查可凝的进程，进行分析
找到可凝的进程
就可以处理了啦。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cuci

荣誉版主

论坛徽章:: 1

6楼 [报告]

发表于 2008-11-28 12:28 |只看该作者

先去检查有哪些异常服务和端口，再去检查近期有过更新的系统文件和重要配置文件，查找可以文件
自己修改完passwd给他加上-i 属性，禁止更改
之后做好系统完整性检查

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

qucklay

稍有积蓄

论坛徽章:: 0

7楼 [报告]

发表于 2008-11-28 13:03 |只看该作者

每个小时的第10分钟发作，一定是script在作怪，好好检查。
要不就是被你搞坏掉了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

qucklay

稍有积蓄

论坛徽章:: 0

8楼 [报告]

发表于 2008-11-28 13:06 |只看该作者

你把login.defs贴出来看看

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

azailoveu2008

丰衣足食

论坛徽章:: 0

9楼 [报告]

发表于 2008-11-28 13:11 |只看该作者

[root@sothink etc]# vi login.defs

# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory.  If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR    Maildir
MAIL_DIR       /var/spool/mail
#MAIL_FILE    .mail

# Password aging controls:
#
#    PASS_MAX_DAYS Maximum number of days a password may be used.
#    PASS_MIN_DAYS Minimum number of days allowed between password changes.
#    PASS_MIN_LEN Minimum acceptable password length.
#    PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                500
UID_MAX                60000

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                500
GID_MAX                60000

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is ORed with the -m flag on
# useradd command line.
#
CREATE_HOME    yes

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jiangtao0506

白手起家

论坛徽章:: 0

10楼 [报告]

发表于 2008-11-28 13:20 |只看该作者

你们有备份没？
做好最坏的打算。如果最后还找不出来原因，希望你重装。重装时注意把服务器配置文件等转出来。特别注意不要带入执行文件，除非你清楚他是什么。周期的性可执行的一般是在crontab，cron.daily,cron.monthly,cron.weekly,cron.hourly中有相应的项，你可以top一下，看可以进程，看占用的cpu,mem等看一下，因为他周期执行，会消耗cpu，内存等，然后找到可疑进程通过ps aux |grep “进程名” 来看在进程的详细路径，然后清除可执行代码以及连接文件，注意清除前ls -l 看他有没连接，不然我们的功夫就白费了，最后要通过chatrr +i /etc/passwd , chatrr +i /etc/shadow , chatrr +i /etc/group ,也可以建个cron.allow文件加入允许使用cron的用户，再加上限制属性，最后mv 给chatrr 重换个名字，提高系统安全性
咯咯

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 4 5 6 7 / 7 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › linux被攻击

linux被攻击 [复制链接]

浏览过的版块