MU
|
發表於 2005-10-7 02:36 PM |
引用: ianchang999寫到:
引用: MU寫到:
引用: ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了..... 
是kernel mode的"小"程式(lkm?)嗎??
可以用java或是寫一個shell scrpt都可以.....
| |
ianchang999
|
發表於 2005-10-7 12:01 PM |
引用: MU寫到:
引用: ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....
是kernel mode的"小"程式(lkm?)嗎??
| |
MU
|
發表於 2005-10-6 11:30 PM |
引用: ianchang999寫到:
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
如果會寫程式的話!寫個小程式把不知來路的ip踢掉就可以了.....
| |
ianchang999
|
發表於 2005-10-6 11:09 PM |
假如被真的被入侵了, 而且又沒有重要的資料的話, 還是重灌吧.......!(誰知道電腦中中了什麼東西 rootkit....etc), 說到 log 推薦一個不錯的 log daemon..............syslog-ng 好用, 讚
| |
MU
|
發表於 2005-10-5 11:43 PM |
建議你最好如果沒必要的話!盡量把ssh的功能關閉.....
| |
MU
|
發表於 2005-10-5 11:41 PM |
你應該先查你的log檔,就可以知道是哪個ip用哪個帳戶登入的,做過什麼事都可以查出來........
| |
Frederic
|
發表於 2005-9-25 09:07 AM |
引用: NetKidz寫到:
9/22 開的版,怎會有 7/4 的文章? 
可能從軟體區移過來的
| |
ianchang999
|
發表於 2005-9-23 10:04 PM |
看起來......你在連 irc server, 你會不會是中了後門, 變成 robot了........
| |
NetKidz
|
發表於 2005-9-23 09:53 PM |
9/22 開的版,怎會有 7/4 的文章?
光看連線應該是去轟別人的 IRC server 吧。
至於系統被搞了什麼鬼,光這樣問,除了搞鬼的人,我想應該沒人可以肯定的回答吧。 
先用 chkrootkit 之類的試看看吧,被換了哪些檔案,除非當初有用類似 tripwire 之類的先做 checksum,
不然也很難確定。
至於怎麼摸進來的?十多年沒碰 Linux 了,搞不清楚囉,抱歉啦~
總之,系統還是重灌較保險。該上的 patch 就上,不該開的 service 就關掉。密碼不要太簡單。可以遠端
連線的服務像 SSH,換一下 port,且不要讓 root 可以遠端 login。
多注意一些像 CERT 的訊息吧,BUGTRAQ 有空也可訂看看。
| |
onlive
|
發表於 2005-7-5 05:14 PM |
引用: gasula寫到:
以你的log來看,因該是DNS攻擊利用要求SYN 的方式大量傳送封包 意圖使主機當機!
今天早上又被入侵了
現在只好先設定SSH的連入IP範圍
最近SSH有什麼重大的漏洞嗎?
現在還沒辦法弄清楚是系統的漏洞還是使用者的密碼太過於簡單。
| |
| 本主題回覆較多,請 點擊這裡 檢閱。 |
