Linux Server被黑掉了,紧急求助!!!

kaichun

重装虽然是比较弱智的办法，但是是最有效的办法，因为日值肯定不在了，做过什么也不可能去追踪了。
     我以前处理过一个帐号密码过于简单的系统，虽然日值已经没有了，但是大部分的服务还能够正常的运作，也没有添加额外的帐号和多余的服务被检查到，所以当时也就对IP相关的几个文件进行了替换，Openssh也进行了更换，还好到现在也没有出什么问题。
     为了安全期间，重装是个彻底的好办法！

zimac

想再试几天,但是被老板发现的话就没的玩了.
唉,重装!
碰到问题是好事,可以学习,可以长进.谁有办法的话联系我 zjwsk@sohu.com

我现在不明白一点,用root帐号登录后还有干不了的事,那些被替换掉的文件我都没办法动,好像linux下的文件有个什么sid属性还是啥的,查了N久没查出个所以然出来.
最恼火的是那丫在root目录下留了个dead.letter ,NND 我服了U

资料要紧,没时间玩了

JohnBull

不重装也可以，但重装最省事。

zmxren

linux下有一个用户识别的sid或者是usid它是标志用户的权限的
你可以和正常的用户比较一下看看他的权限
linux下有一个恢复的命令好像是dd 我记不太清了

vcynosure

保存现有的信息以后慢慢分析，然后重装～

GunKing

建议硬盘镜像后重在装OS做个HoneyPot搬个凳子看E4gle和ayazero来抓人。

zor

安全的话就重装，如果对自己技术有信心可以修复，如果高人一般都会改/bin/里面常用的命令，做几个木马后门什么的以后可以慢慢用。这个就看水平了。

edenCC

如果不怕麻烦就一个个的手工恢复吧, 主要针对命令和脚本,
找一快的ftp 站点, 用 rpm 自带的校验功能
rpm -Vvp ftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
校验，异常时输出“ S.5....T /bin/ls ”出现异常带 --force 参数安装
希望对你有所帮助~~~

俊狼

原帖由 "edenCC" 发表：
如果不怕麻烦就一个个的手工恢复吧, 主要针对命令和脚本,
找一快的ftp 站点, 用 rpm 自带的校验功能
rpm -Vvp ftp://mirror.site/dir/RedHat/RPMS/fileutils-3.16-10.i386.rpm
校验，异常时输出“ S.5....T /bin/..........

楼上的朋友这个方法可以吗？  我有个疑问。如果用的不是RPM安装的可以这么做吗？

edenCC

也可以,不过你要确定命令的归属包, rpm 很容易做到, rpm -qf /bin/ls 就可以了,