我的 Linux 遭入侵了...

**Man** · 2002-01-07, 04:11 PM

我的 OS 是 Linux 7.0 kernel 2.2.16-22~
發現入侵者『203.170.183.6』近幾天曾多次利用 ftp 及 telnet 入侵...
我想他已經取得 root 的權限了，
因為他已替自己加了 account ...
用 ls -l 來題視他的 home directory 時，
他的 home directory 的顯視是 root.lp ，
那樣是不是他已取得了 root 的權限呢？
而 lp 是 Linux 系統預設的 Group...
這個 Group 又有什麼特別的權限呢？
為何他要加入這個 Group 呢？
我在 ftp 的記錄中得知它下載了很多的『*.tar.gz』檔案到 /usr/bash ~
而 /usr/bash 也是他自己建立的吧...
但那些 *.tar.gz 檔案，我想他是已在我的主機中執行過...
因為它也已在我的主機上解 zip 了...
其中已解 zip 的有『bnc2.6.4』，我看堶悸 README 大約是一套叫『IRC Proxy daemon』的東西...
已另外還有『Unreal3.1.1s』是一套叫『UnrealIRCD』的東西...
還有一套是叫『auspices』的，我就不知是什麼了...
但是這些東西有什麼用呢？
會對我的系統有什麼影響呢？希望各位能指點指點！
另外，我的系統的 ftp 是不允許 anonymous 的，那麼它是甚樣進來取 passwd 的呢？
我現在已成功移除了它的 account ，但我相信我的 passwd 檔整份已在他手中了...
我能怎樣做才能確保我不再被他入侵呢？"因為是 mail server ，堶 user 眾多，很難要求全部 user 改 passwd ...
現在不知如何是好...
希望各位能指點指點！謝謝！

**Spen** · 2002-01-07, 07:23 PM

最初由 Man 發表
我的 OS 是 Linux 7.0 kernel 2.2.16-22~
發現入侵者『203.170.183.6』近幾天曾多次利用 ftp 及 telnet 入侵...
我想他已經取得 root 的權限了，
因為他已替自己加了 account ...
用 ls -l 來題視他的 home directory 時，
他的 home directory 的顯視是 root.lp ，
那樣是不是他已取得了 root 的權限呢？
而 lp 是 Linux 系統預設的 Group...
這個 Group 又有什麼特別的權限呢？
為何他要加入這個 Group 呢？
我在 ftp 的記錄中得知它下載了很多的『*.tar.gz』檔案到 /usr/bash ~
而 /usr/bash 也是他自己建立的吧...
但那些 *.tar.gz 檔案，我想他是已在我的主機中執行過...
因為它也已在我的主機上解 zip 了...
其中已解 zip 的有『bnc2.6.4』，我看堶悸 README 大約是一套叫『IRC Proxy daemon』的東西...
已另外還有『Unreal3.1.1s』是一套叫『UnrealIRCD』的東西...
還有一套是叫『auspices』的，我就不知是什麼了...
但是這些東西有什麼用呢？
會對我的系統有什麼影響呢？希望各位能指點指點！
另外，我的系統的 ftp 是不允許 anonymous 的，那麼它是甚樣進來取 passwd 的呢？
我現在已成功移除了它的 account ，但我相信我的 passwd 檔整份已在他手中了...
我能怎樣做才能確保我不再被他入侵呢？"因為是 mail server ，堶 user 眾多，很難要求全部 user 改 passwd ...
現在不知如何是好...
希望各位能指點指點！謝謝！

強烈建議備份所有重要檔案從新安裝系統

它的動作也許已經開了後門.危險性相當高.
不但資料容易被取得更會被當成跳板.
最安全最快速的方法 - 重新安裝.

除非你自信有能力慢慢清出所有後門.
當然...你也可以不動聲色抓駭客--> 這不是每個人都有的機會喔 ^^

**Man** · 2002-01-08, 12:16 AM

最初由 Spen 發表

強烈建議備份所有重要檔案從新安裝系統

它的動作也許已經開了後門.危險性相當高.
不但資料容易被取得更會被當成跳板.
最安全最快速的方法 - 重新安裝.

除非你自信有能力慢慢清出所有後門.
當然...你也可以不動聲色抓駭客--> 這不是每個人都有的機會喔 ^^

嗯~多謝你的指點！
但是假若他真的是有我的 passwd 檔的話，
即使是把系統重裝，我用的 passwd 和 IP 也仍是一樣啊！
那麼即豈不是又要讓他再入侵進來...
抑或是我一定要把所有用戶的 passwd 重新設定一遍呢？
希望各位能指點指點！

**Spen** · 2002-01-08, 12:32 AM

最初由 Man 發表

嗯~多謝你的指點！
但是假若他真的是有我的 passwd 檔的話，
即使是把系統重裝，我用的 passwd 和 IP 也仍是一樣啊！
那麼即豈不是又要讓他再入侵進來...
抑或是我一定要把所有用戶的 passwd 重新設定一遍呢？
希望各位能指點指點！

兄臺我所謂的系統重裝是指把整個HD的資料給砍掉.然後用光碟片重新安裝系統.
至於密碼我想 root 你是必須要更換的.

重裝之後有兩個步驟要作
1.更新系統的漏洞
2.學習如何防止別人入侵

當然.前提要先備份你的資料.如果嫌麻煩.直接安裝最新版本的 linux
會比較安全一點.

**Man** · 2002-01-08, 02:16 AM

最初由 Spen 發表

兄臺我所謂的系統重裝是指把整個HD的資料給砍掉.然後用光碟片重新安裝系統.
至於密碼我想 root 你是必須要更換的.

重裝之後有兩個步驟要作
1.更新系統的漏洞
2.學習如何防止別人入侵

當然.前提要先備份你的資料.如果嫌麻煩.直接安裝最新版本的 linux
會比較安全一點.

嗯~多謝你的指點啊！