我的linux服务器被黑了，无从下手

inch

原帖由 fnaps 于 2005-12-30 23:01 发表\r\nhttp://overflow.nease.net/aya/Linux_incident_response.sh \r\n这个脚本有什么用？

\r\n\r\n是啊，我也想问下这个角本有什么用

inch

Dec 31 05:39:34 localhost sshd(pam_unix)[8992]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=211-72-82-105.hinet-ip\r\n.hinet.net  user=root\r\n\r\n在日志里发现这个　说明什么问题？

neoedmund

1。 重装系统\r\n黑客一般都把系统命令都替换成黑客的程序，如ls, ps, \r\n2。 重装后正确设置\r\n黑完后说明你的ip已经是黑客的名单中， 一般会再次攻击你。 所以要安全的配置。

simonlm

低版本的SSH有漏洞！要安装最新版的，而且ROOT密码一定要16位以上。好多客户都是这样被黑的。

paub

用SSH最好不要用输入密码的方式登录，这样会留下很多隐患，比如你的windows终端如果中了木马，很可能把密码泄漏出去；最好的方法是使用ssh的验证码，由ssh-keygen生成rsa或dsa的公钥和私钥，公钥放在服务器上，这样就不用输入密码，通过公钥和私钥的认证就安全登录了，不过你要放好你的私钥。详细实现方法可以在google或baidu上找到

perryhg

web被黑，绝大多数是sql injection，linux服务器的话看看是不是ftp密码被人试探出来了，还有dns是不是被人exploit了，装个rootkit hunter，查查有没有root kit\r\n\r\n我从日志发现现在有好程序每天自动扫描ssh端口并试探密码，如果你有一个用户是弱密码被人登录了，很可能被安装rootkit。我曾经写过一个程序，就是自动监视日志，如果发现同一个ip地址短时间内连续10次验证失败，就调用iptables彻底屏蔽这个ip，现在日志干净多了。\n\n[ 本帖最后由 perryhg 于 2005-12-31 13:05 编辑 ]

jook999

装个RKhunter 升级到最新， 查一下漏洞先。

netyu

LINUX虽是好东东.但不能好好的操作它,一样会有机会让人家攻击的.\r\n就算是你拿Z系列的大机来.不把它配置好也一样会出问题啊,呵呵.

soichiro

在sshd的配置文件中禁用root登陆，创建一个普通用户来进行系统维护，平时都用普通用户登陆后再su，我的系统日志里每天都有成千上万条猜测root密码的连接，但普通用户名几乎不可能被猜到.

inch

非常感谢！RedHat Linux是不是也经常有漏洞产生，那这些漏洞的相关资料及补丁会发布在哪里呢？麻烦各位发个链接呢。