|
|
redhat8.0没启动iptable,是公司的router。前几天用history偶然发现有人用root身份扫描其它外面的机器。
.....................
997 ./a 69.233.47.243 &
998 ./a 69.116.32.71 &
999 ./a 69.233.59.211 &
1000 killall -9 a
1001 w
1002 history > /tmp/hist.txt
改了root的passwd没用。
改了/etc/hosts.allow and /etc/hosts.deny 限制ip没用。
另外在/usr/bin下发现一新目录.tmp
ls -l /usr/bin/.tmp
-rwxrwxr-x 1 root root 16646 Jan 23 15:22 cls
-rw-r--r-- 1 root root 334 May 8 10:12 conturi.log
-rwxr-xr-x 1 683 683 21011 Feb 8 2001 damn
-rwxr-xr-x 1 root ftp 16475 Oct 5 2000 httpd
-rw-r--r-- 1 root root 5 May 8 10:12 pid
-rwxr-xr-x 1 root root 23794 Jan 29 2001 pss
-rwxr-xr-x 1 root ftp 8268 Oct 15 1999 sl2
-rw-rw-r-- 1 root root 5 May 18 10:16 sniff.pid
-rw------- 1 root root 541 Jul 2 2000 ssh_host_key
-rw------- 1 root root 512 May 16 17:12 ssh_random_seed
-rwxrw-r-- 1 root root 682355 Mar 10 2003 sshd
-rw-r--r-- 1 root root 702 Jan 19 05:01 sshd_config
-rw-r--r-- 1 root root 122759 May 18 10:16 tcp.log
-rwxr-xr-x 1 root root 4060 Sep 22 2000 vad
-rwxr-xr-x 1 683 683 13753 Feb 9 2001 zbam
这是后门程序啊?怎么看有没有后门程序在运行啊? |
|
IP卡
狗仔卡
发表于 2006-5-18 09:37:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主