服务器被黑后如何查踪迹?

yoursmile

获得信息的途径主要靠日志了。/var/log/message以及/var/log/secure，不过很难说黑客会删除这段期间的日志。
另外还有一个方法就是跑一个rpm -Va > rpm_Va，这样你就可以知道哪些不该改动的文件被改动了。

硬盘通过数据恢复,也只有部分数据了，使用rpm肯定是不行了./var/log/message分析了，打印的都是系统出错信息,很奇怪,没有登陆信息(可能是被删了后又覆盖了)
/var/log/secure恢复没有成功

至于安全方面，唯有从下面几个方面考虑：
第一，尽量用防火墙屏蔽不必要服务；

有些服务是必须要用的,无法屏蔽啊

第二，尽量不要使用telnet这种明文传输信息的服务；

现在把telnetd禁掉了

第三，尽量设置root强密码，并且不允许root直接ssh登录；

这样进行系统维护很麻烦的
通过su登陆后，很多命令不能自动补全

第四，tcp_wrapper在很多时候可以保证使用服务的安全性，必要时可以使用；

我已经使用了,所以怀疑通过外面直接登陆服务器可能性比较小，估计是通过内网IP登陆进服务器的

第五，selinux，可以对root的一些操作做限制，不过前提是你对这个东西比较熟悉。

我把selinux的功能关了，对这个不太熟悉....

cuci

安装完系统首先就要做好安全工作，而且维护的时候对于权限管理是需要严格的

yoursmile

原帖由 cuci 于 2008-7-25 09:04 发表
history，last等等系统命令

tripwire，nessus等等工具

太笼统了。直接告诉我看哪几个文件吧!

yoursmile

原帖由 streetboy85 于 2008-7-25 09:12 发表
telnet的传输没经过加密
ssh是经过加密传输的，安全性能好很多

我现在关心的问题是,已经通过某种途径hack了服务器后,如何找hacker的痕迹......................

yoursmile

原帖由 cuci 于 2008-7-25 09:17 发表
安装完系统首先就要做好安全工作，而且维护的时候对于权限管理是需要严格的

权限应该没什么问题.就怕系统有什么软件漏洞,被人利用,提升权限.

ylcqen

原帖由 jerrywjl 于 2008-7-25 09:02 发表
获得信息的途径主要靠日志了。/var/log/message以及/var/log/secure，不过很难说黑客会删除这段期间的日志。
另外还有一个方法就是跑一个rpm -Va > rpm_Va，这样你就可以知道哪些不该改动的文件被改动了。

...

同意,尽量减少不必要的服务安装和开放!软件是否得到及时的更新.密码的安全性做到位没有等一系列问题.

chenyx

楼主贴上来的出错信息怎么象是内存溢出呢，是不是硬件故障呢

polokus

ssh 客户端其实很好找，putty非常小，又很好用

gigabyte

见识了                           

yoursmile

原帖由 chenyx 于 2008-7-25 10:06 发表
楼主贴上来的出错信息怎么象是内存溢出呢，是不是硬件故障呢

出现那个提示,我想是因为硬盘数据已经清空了(包括目录),所以提示/swap无法存取.

我重新挂了块硬盘,重做系统,一切正常,说明和硬件无关