Linux Server被黑掉了,紧急求助!!!

JohnBull

不重装也可以，但重装最省事。

zmxren

linux下有一个用户识别的sid或者是usid它是标志用户的权限的\r\n你可以和正常的用户比较一下看看他的权限\r\nlinux下有一个恢复的命令好像是dd 我记不太清了

vcynosure

保存现有的信息以后慢慢分析，然后重装～

GunKing

建议硬盘镜像后重在装OS做个HoneyPot搬个凳子看E4gle和ayazero来抓人。

zor

安全的话就重装，如果对自己技术有信心可以修复，如果高人一般都会改/bin/里面常用的命令，做几个木马后门什么的以后可以慢慢用。这个就看水平了。

edenCC

如果不怕麻烦就一个个的手工恢复吧, 主要针对命令和脚本,\r\n找一快的ftp 站点, 用 rpm 自带的校验功能\r\nrpm -Vvp ftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm\r\n校验，异常时输出“ S.5....T /bin/ls ”出现异常带 --force 参数安装\r\n希望对你有所帮助~~~

俊狼

原帖由 \"edenCC\" 发表：\n如果不怕麻烦就一个个的手工恢复吧, 主要针对命令和脚本,\r\n找一快的ftp 站点, 用 rpm 自带的校验功能\r\nrpm -Vvp ftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm\r\n校验，异常时输出“ S.5....T /bin/..........

\r\n\r\n\r\n楼上的朋友这个方法可以吗？  我有个疑问。如果用的不是RPM安装的可以这么做吗？

edenCC

也可以,不过你要确定命令的归属包, rpm 很容易做到, rpm -qf /bin/ls 就可以了,

ayazero

专业的应急响应都价格不菲\r\n\r\n有时间的话可以看看《应急响应》第二版\r\n\r\n我现在对这些东西已经很厌倦了

zimac

谢谢各位的关心，机器我已经重装了。\r\n\r\n到现在还经常有家伙扫描我的机器，目前做法是看到不认识的就封，不足的是要手动做，有没办法自动啊。\r\n因为机器还有供不同的客户使用，其ip也不确定。要不就开指定网段就安全多了。