几年前我们的集群服务器被黑，被装了带后门的sshd，把用户登录密码存放到/usr/inc
lude/netda.h中......

能被发现是因为带后门的sshd有各种问题，用户登录时出错.....

根据sshd的修改时间，及pacct的记录，追踪到test1用户的一些操作，

以及其目录下的遗留的用于获取root的代码......

再查系统记录，test1有几次登录失败然后成功的记录，是这个账号用了弱密码，

猜测是黑客还没来得及清理痕迹，换sshd后没法再次登录了......



【 在 l234567890 的大作中提到: 】
: 一个老师说登不上了，我试了下果然登不上了
: 接上显示屏和键盘也没反应，只能强制关机然后重启了
: 进去后看了下账户，发现多了一个system账户，看日期像是13号创建的
: ...................
--
FROM 111.203.137.*

rh系的，用一个命令 rpm -Va就可以看哪些文件被修改了

大部分黑客没法搅合这个命令
【 在 smo 的大作中提到: 】
: 几年前我们的集群服务器被黑，被装了带后门的sshd，把用户登录密码存放到/usr/inc
: lude/netda.h中......
: 能被发现是因为带后门的sshd有各种问题，用户登录时出错.....
: ...................
--
FROM 119.139.197.*

只打开必须的端口。ssh只允许密匙登录，不要用密码登录。ssh的端口也可以改掉，不用默认的22。


【 在 l234567890 的大作中提到: 】
: 一个老师说登不上了，我试了下果然登不上了
: 接上显示屏和键盘也没反应，只能强制关机然后重启了
: 进去后看了下账户，发现多了一个system账户，看日期像是13号创建的
: ...................
--
FROM 117.32.153.*