服务器被黑后如何查踪迹?

liaosnet

原帖由 Kenbaby 于 2008-7-30 08:56 发表
总结起来此贴都是一些菜鸟在唧唧歪歪，没有实质内容。

说对了~~感觉这帖就是个水帖~~

yoursmile

楼上这不是在打击我吗

izzy_sec

看看lastlog  wtmp 看看有没有异常的用户，比如系统自带的帐号却被登录过，某个帐号的登录过的IP，这应该属于内部的攻击吧，最好启用syslog

比如：
[root@server1 log]# who wtmp
root     :0           2008-06-29 15:05
root     :0           2008-06-29 15:05
root     pts/1        2008-06-29 15:07 (:0.0)
root     :0           2008-06-29 15:14
root     :0           2008-06-29 15:14
root     pts/1        2008-06-29 15:15 (:0.0)
root     :0           2008-06-29 15:26
root     :0           2008-06-29 15:26
root     pts/1        2008-06-29 15:32 (:0.0)
root     pts/1        2008-06-29 15:44 (:0.0)
root     pts/2        2008-07-06 15:32 (60.232.×.207)
root     pts/3        2008-07-16 20:46 (60.232.×.207)
root     tty1         2008-07-19 12:12
root     pts/0        2008-07-19 12:12 (60.232.×.184)
root     pts/5        2008-07-31 21:04 (60.232.×.215)


[root@server1 log]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/5    60.232.83.215    四  7月 31 21:04:05 +0800 2008
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
halt                                       **从未登录过**
mail                                       **从未登录过**
news                                       **从未登录过**
uucp                                       **从未登录过**
operator                                   **从未登录过**
games                                      **从未登录过**
gopher                                     **从未登录过**
ftp                                        **从未登录过**
nobody                                     **从未登录过**
rpm                                        **从未登录过**
dbus                                       **从未登录过**
avahi                                      **从未登录过**
mailnull                                   **从未登录过**
smmsp                                      **从未登录过**
distcache                                  **从未登录过**
ntp                                        **从未登录过**
apache                                     **从未登录过**
nscd                                       **从未登录过**
vcsa                                       **从未登录过**
rpc                                        **从未登录过**
named                                      **从未登录过**
rpcuser                                    **从未登录过**
sshd                                       **从未登录过**
webalizer                                  **从未登录过**
pcap                                       **从未登录过**
squid                                      **从未登录过**
haldaemon                                  **从未登录过**
xfs                                        **从未登录过**
gdm                                        **从未登录过**
dai                                        **从未登录过**
test                                       **从未登录过**
[root@server1 log]#

[ 本帖最后由 izzy_sec 于 2008-7-31 21:28 编辑 ]

ruochen

原帖由 yoursmile 于 2008-7-25 09:15 发表


硬盘通过数据恢复,也只有部分数据了，使用rpm肯定是不行了./var/log/message分析了，打印的都是系统出错信息,很奇怪,没有登陆信息(可能是被删了后又覆盖了)
/var/log/secure恢复没有成功



有些服务是 ...

这样进行系统维护很麻烦的
通过su登陆后，很多命令不能自动补全

用su -

yoursmile

谢谢楼上ruochen的建议~

gogo407

要想知道为什么你完全可以
因为从内网入侵的话，你放心，他还会再来：０　
做好相应的措施你就可以知道，到底是怎么一会事情了！
不过我还是觉得，你的硬件有问题