|
- UID
- 872238
|
另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history文件。假如这个文件是空的,就执行一个ls-l~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:
-rw------- 1 jd jd 13829 Oct 10 17:
又或者,你可能会看到类似以下的输出:lrwxrwxrwx 1 jd jd 9 Oct 1019:
假如你看到的是第二种,就表明这个.bash_history文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。
解决Linux服务器被黑,需要寻找未知的用户账号:
在你打算对你的Linux机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux服务器时,敲入以下的命令:
grep :x:0:
只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:
root:x:0:0:root:/root:
假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。认真来说,虽然对于发现黑客行为,以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。
以上给大家讲解的是一个小的知识点,关于linux服务器被黑的解决方法。 |
|
