服务器被黑后如何查踪迹?

yoursmile

如果在网关上做arp绑定,arp  欺骗这招管用吗?

Aeonspr

原帖由 yoursmile 于 2008-7-25 18:01 发表
如果在网关上做arp绑定,arp  欺骗这招管用吗?

要绑定的话只能在 客户上来绑定， 网关上绑定好像没什么用

另外，如果被清了日志就很难在找脚印了，想办法做个 安全的日志主机，把 syslog  转过去。

johnyo

如果真的想知道，就做个蜜罐吧。

yoursmile

目前还没有条件来做日志主机,只能加强安全防备了

yoursmile

原帖由 ououpp 于 2008-7-27 22:26 发表
LINUX被黑后还是别费事了找什么线索了，他装个ROOTKIT你什么也发现不了的，还是重装吧。

谢谢你的建议

我已经重装了。现在我的/etc/hosts.deny 设置了ALL:ALL.
在/etc/hosts.allow添加允许连接的IP.

yujcheng

首先对兄弟你的遭遇表示同情。其次，作为黑客肯定会清除尾巴的，与其你去找被删掉的东西，不如好好做好以后的安全工作。关闭不必要的服务，给系统打上最新的补丁。修改默认端口号，使用tcp_wrapper，ssh等加强服务器安全性方面的东西。selinux的话是可以将跑得网络服务和系统隔绝开的，用好了的话是非常强大的防黑客工具。

yoursmile

谢谢你中肯的建议!安全是重中之重.这次教训是太深了