找回密码
 注册
返回列表 发新帖
查看: 717|回复: 4

遭遇hacker????

[复制链接]
jarson
发表于 2003-12-15 19:34:15 | 显示全部楼层 |阅读模式
最近在server上执行last命令看到的结果大为吃惊。。

ftp      ftpd6757     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6756     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6755     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6754     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6753     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6752     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6751     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6750     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6749     192.168.6.22     Mon Sep  8 13:46 - 13:46  (00:00)   
ftp      ftpd6748     192.168.6.22     Mon Sep  8 13:45 - 13:45  (00:00)   
de      pts/1        192.168.6.56     Sun Aug  3 11:20 - 11:22  (00:02)   
kde      pts/1        192.168.6.56     Fri Aug  1 17:52 - 17:53  (00:00)   
kde      pts/1        192.168.6.56     Fri Aug  1 14:29 - 14:33  (00:04)   
kde      pts/1        192.168.6.56     Fri Aug  1 14:28 - 14:28  (00:00)   
kde      pts/1        192.168.6.56     Fri Aug  1 14:25 - 14:25  (00:00)   

kde      pts/1        192.168.6.88     Wed Jun 11 20:46 - 20:47  (00:01)   
kde      pts/1        192.168.6.88     Tue Jun 10 19:27 - 19:28  (00:01)   
kde      pts/1        192.168.6.88     Tue Jun 10 19:18 - 19:19  (00:01)   
kde      pts/1        192.168.6.88     Tue Jun 10 19:13 - 19:17  (00:04)   
kde      pts/1        192.168.6.88     Tue Jun 10 17:01 - 17:07  (00:05)   
kde      pts/1        192.168.6.88     Tue Jun 10 16:50 - 16:51  (00:01)   
kde      pts/1        192.168.6.88     Tue Jun 10 16:31 - 16:31  (00:00)   
kde      pts/1        192.168.6.88     Tue Jun 10 16:06 - 16:07  (00:01)   
kde      pts/1        192.168.6.88     Sun Jun  8 21:45 - 21:45  (00:00)   
kde      pts/1        192.168.6.88     Sun Jun  8 16:06 - 16:07  (00:00)   
kde      pts/1        192.168.6.88     Fri Jun  6 21:20 - 21:20  (00:00)   
kde      pts/1        192.168.6.88     Fri Jun  6 21:05 - 21:07  (00:01)   
kde      pts/1        192.168.6.88     Fri Jun  6 14:35 - 14:35  (00:00)   
kde      pts/1        192.168.6.88     Fri Jun  6 14:34 - 14:35  (00:00)   
kde      pts/1        192.168.6.88     Fri Jun  6 14:29 - 14:34  (00:05)
gnome    pts/1        192.168.6.60     Fri Dec 12 15:40 - 15:43  (00:03)
vi /etc/passwd
kde:0:80:kde:/var/desktop:/bin/bash

是否表明ftp,kde,gnome用户远程登陆过系统???
如果是,他们能用什么方式登陆啊。因为我提供的ssh服务,只允许tom一个用户可以登陆。我是不是遇到敌人。而且192.168.6.88经证实是我们公司一个人的ip,他是软件组的。能不能就凭这个判断他确实登陆过我的机器?而且我看了别的linux机器好像没有kde,gnome用户。。是不是入侵者自己添加的??
回复

使用道具 举报

jarson
 楼主| 发表于 2003-12-16 08:18:39 | 显示全部楼层
那个老大能帮我看看么?
回复

使用道具 举报

bixuan
发表于 2003-12-16 08:21:29 | 显示全部楼层
你的是什么版本的?看上去是象
回复

使用道具 举报

gugong
发表于 2003-12-16 09:33:56 | 显示全部楼层
kde:0:80:kde:/var/desktop:/bin/bash

他把 自己的 uid 改成了 root 的 0 !



我的正常的是:

2003年12月16日上午09时22分23秒[root@test root]# g kde /etc/passwd
desktop:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
回复

使用道具 举报

jarson
 楼主| 发表于 2003-12-16 10:05:14 | 显示全部楼层
谢谢楼上两位老大,我已经做了安全措施,而且黑我的人我已经知道了。。
:)
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2025-3-1 05:18 , Processed in 0.039928 second(s), 15 queries .

© 2001-2025 Discuz! Team. Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表