电脑root密码被修改了,现在刚改回来,我该做些什么?如何知道他做了些什么?
Sherlockhlt · 2014-01-17 10:59:08 +08:00 · 3709 次点击这是一个创建于 3950 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天开机发现电脑root密码被修改了
$lastlog
用户名 端口 来自 最后登陆时间
root pts/0 61.132.122.76 四 1月 16 18:17:07 +0800 2014
在启动项那里的末端添加
/init=/bin/bash
然后可以以root进入电脑,修改回密码。
现在我该做些什么?如何知道他做了些什么?
电脑的服务我只开了sshd,是不是它出现漏洞被攻击了?
$lastlog
用户名 端口 来自 最后登陆时间
root pts/0 61.132.122.76 四 1月 16 18:17:07 +0800 2014
在启动项那里的末端添加
/init=/bin/bash
然后可以以root进入电脑,修改回密码。
现在我该做些什么?如何知道他做了些什么?
电脑的服务我只开了sshd,是不是它出现漏洞被攻击了?
 |
1
Comphuse 2014-01-17 12:01:05 +08:00
It doesn't make sense to investigate into it, especially when you seems to be a newbie. Just wipe out the whole disk, reinstall your OS, and change your passwords of every single accounts you can remember.
|
|
2
Comphuse 2014-01-17 12:06:33 +08:00
If you had a backup, it would be possible to diff <i>yourmachine</i> <i>backup</i> offline using a Linux live USB.
Just backup up (non-exectable) data and reinstall. After reinstalling, log into your router to see if the DNS configuration is tampered by the intruder, because if you stored the username & password of the router control pannel in your browser, he might have been able to to that. Sorry for answering in English, no IME available at the moment. |
 |
3
liuyi_beta 2014-01-17 12:11:25 +08:00
用history查看历史命令,用ps看有无异常进程,用netstat查看有无后门连接,等等。然后再分析/var/log目录下的各种日志,如果是被入侵了肯定会留下各种痕迹的。
|
 |
5
duzhe0 2014-01-17 13:02:07 +08:00
查看/etc/passwd看有没有可疑的帐号
查找系统里所有有ssid权限的可执行文件看有没有可疑的可执行文件 查看所有用户的crontab看有没有可疑的计划任务 查看所有用户家目录下的.ssh/authorized_keys中有没有可疑的设置 查看源有没有被修改 重新安装openssh --- 要想确认没有被留下后门非常困难,最简单的还是备份后全盘格式化,重装系统 |
 |
6
Lax 2014-01-17 13:07:13 +08:00
init=/bin/bash 进单用户模式了,应该可以直接接触你的机器。有没有做其它行为,估计看不出来了。
平时抓包看看有没有可疑的数据。 |
|
7
duzhe0 2014-01-17 13:07:44 +08:00
每一个运行中的可执行程序,都有可能是被黑客替换过的hack过的版本,所以理论上讲,一个系统只要被侵入过, 那除了重装系统,没有什么好办法(时间成本上)保证系统是没有后门的。
|
 |
8
Sherlockhlt OP @liuyi_beta
$sudo netstat -antp 激活Internet连接 (服务器和已建立连接的) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:45323 0.0.0.0:* LISTEN 1027/rpc.mountd tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 729/smbd tcp 0 0 0.0.0.0:59087 0.0.0.0:* LISTEN 850/rpc.statd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/portmap tcp 0 0 0.0.0.0:35667 0.0.0.0:* LISTEN - tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 1239/dnsmasq tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1349/sshd tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1097/cupsd tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 729/smbd tcp6 0 0 :::22 :::* LISTEN 1349/sshd tcp6 0 0 ::1:631 :::* LISTEN 1097/cupsd 看不出来哪个有问题。 ps太长了,该怎么看? /var/log/auth.log看了,发现居然有四五个ip一直在攻击我的电脑,昨天下午一个攻击成功了。。 因为是实验室的试验机,重装很麻烦,也没有什么重要的东西,暂时不想重装了。 |
|
9
Sherlockhlt OP @duzhe0
/etc/passwd居然在一个月前就被修改过了,不过看不出来是修改了什么 其他真的看不出来,.ssh下面的文件没有被改动,crontab -l也没有任务,源和hosts也没改 对了,ssid文件是指哪些? 我待会重装下openssh,我觉得有那么多人攻击,估计是openssh出漏洞了 |
|
10
Sherlockhlt OP 刚刚重装了最新的openssh了,现在不知道做什么好了
@duzhe0 |
 |
11
66450146 2014-01-17 14:15:38 +08:00
@Sherlockhlt 重装系统吧
|
|
12
Sherlockhlt OP  1
刚刚看了日志,奇怪的是他一入侵成功就修改了我的root密码,然后什么都没做,他这么做不是会引起我的注意吗?
|
|
13
liuyi_beta 2014-01-17 16:51:30 +08:00
@Sherlockhlt ps看一下有没有异常进程就好了,这个得考经验。估计是你设置了弱密码才被人黑进来的。
|
 |
15
zjgood 2014-01-19 07:44:25 +08:00 via iPhone
@Tinet 嘿嘿,我上英语课都没怎么听讲,平时都是靠周末上网查资料学的,Linux真是个学英语的好工具~~:)
|
|
16
duzhe0 2014-01-20 00:44:42 +08:00
@Sherlockhlt 如果只是本地日志的话, 可以备份然后留下后门后恢复的。而且如果他愿意, 一切痕迹都可以清除掉。除非日志是实时写到另一台安全的机器上的。
|
Select Language