电脑root密码被修改了,现在刚改回来，我该做些什么？如何知道他做了些什么？

今天开机发现电脑root密码被修改了

$lastlog

用户名端口来自最后登陆时间
root pts/0 61.132.122.76 四 1月 16 18:17:07 +0800 2014

在启动项那里的末端添加

/init=/bin/bash

然后可以以root进入电脑，修改回密码。

现在我该做些什么？如何知道他做了些什么？

电脑的服务我只开了sshd，是不是它出现漏洞被攻击了？

Comphuse

2014-01-17 12:01:05 +08:00

It doesn't make sense to investigate into it, especially when you seems to be a newbie. Just wipe out the whole disk, reinstall your OS, and change your passwords of every single accounts you can remember.

Comphuse

2014-01-17 12:06:33 +08:00

If you had a backup, it would be possible to diff <i>yourmachine</i> <i>backup</i> offline using a Linux live USB.
Just backup up (non-exectable) data and reinstall. After reinstalling, log into your router to see if the DNS configuration is tampered by the intruder, because if you stored the username & password of the router control pannel in your browser, he might have been able to to that.
Sorry for answering in English, no IME available at the moment.

liuyi_beta

2014-01-17 12:11:25 +08:00

用history查看历史命令，用ps看有无异常进程，用netstat查看有无后门连接，等等。然后再分析/var/log目录下的各种日志，如果是被入侵了肯定会留下各种痕迹的。

zjgood

2014-01-17 12:56:12 +08:00

@Comphuse 哇呀呀，我现在高二英语居然流畅的看完了：)

duzhe0

2014-01-17 13:02:07 +08:00

查看/etc/passwd看有没有可疑的帐号
查找系统里所有有ssid权限的可执行文件看有没有可疑的可执行文件
查看所有用户的crontab看有没有可疑的计划任务
查看所有用户家目录下的.ssh/authorized_keys中有没有可疑的设置
查看源有没有被修改
重新安装openssh

---
要想确认没有被留下后门非常困难，最简单的还是备份后全盘格式化，重装系统

Lax

2014-01-17 13:07:13 +08:00

init=/bin/bash 进单用户模式了，应该可以直接接触你的机器。有没有做其它行为，估计看不出来了。

平时抓包看看有没有可疑的数据。

duzhe0

2014-01-17 13:07:44 +08:00

每一个运行中的可执行程序，都有可能是被黑客替换过的hack过的版本，所以理论上讲，一个系统只要被侵入过，那除了重装系统，没有什么好办法(时间成本上)保证系统是没有后门的。

Sherlockhlt

2014-01-17 13:35:40 +08:00

@liuyi_beta

$sudo netstat -antp

激活Internet连接 (服务器和已建立连接的)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:45323 0.0.0.0:* LISTEN 1027/rpc.mountd
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 729/smbd
tcp 0 0 0.0.0.0:59087 0.0.0.0:* LISTEN 850/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/portmap
tcp 0 0 0.0.0.0:35667 0.0.0.0:* LISTEN -
tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 1239/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1349/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1097/cupsd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 729/smbd
tcp6 0 0 :::22 :::* LISTEN 1349/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1097/cupsd

看不出来哪个有问题。

ps太长了，该怎么看？

/var/log/auth.log看了，发现居然有四五个ip一直在攻击我的电脑，昨天下午一个攻击成功了。。

因为是实验室的试验机，重装很麻烦，也没有什么重要的东西，暂时不想重装了。

Sherlockhlt

2014-01-17 13:45:57 +08:00

@duzhe0

/etc/passwd居然在一个月前就被修改过了，不过看不出来是修改了什么
其他真的看不出来，.ssh下面的文件没有被改动，crontab -l也没有任务，源和hosts也没改
对了，ssid文件是指哪些？
我待会重装下openssh，我觉得有那么多人攻击，估计是openssh出漏洞了

Sherlockhlt

2014-01-17 14:12:47 +08:00

刚刚重装了最新的openssh了，现在不知道做什么好了
@duzhe0

66450146

2014-01-17 14:15:38 +08:00

@Sherlockhlt 重装系统吧

Sherlockhlt

2014-01-17 15:27:17 +08:00

刚刚看了日志，奇怪的是他一入侵成功就修改了我的root密码，然后什么都没做，他这么做不是会引起我的注意吗？

liuyi_beta

2014-01-17 16:51:30 +08:00

@Sherlockhlt ps看一下有没有异常进程就好了，这个得考经验。估计是你设置了弱密码才被人黑进来的。

Tinet

2014-01-18 11:39:54 +08:00

@zjgood 你让我这个过了六级的还看得不流畅的情何以堪

zjgood

2014-01-19 07:44:25 +08:00

@Tinet 嘿嘿，我上英语课都没怎么听讲，平时都是靠周末上网查资料学的，Linux真是个学英语的好工具~~：)

duzhe0

2014-01-20 00:44:42 +08:00

@Sherlockhlt 如果只是本地日志的话，可以备份然后留下后门后恢复的。而且如果他愿意，一切痕迹都可以清除掉。除非日志是实时写到另一台安全的机器上的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/97354

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.