今天我接到安全人员的电话,告诉我一台机器的 /etc/passwd 文件被截断了(0 字节)。几天前 /etc/group 也发生了同样的情况。
我试图追查原因,但没有成功......有人可以给我一个我应该在哪里寻找的线索吗?
我正在运行 Red Hat 5.7 x86_64。
如果您认为自己已被黑客入侵,我强烈建议您如何处理被入侵的服务器?.
否则,检查 root 的.bash_history,寻找诸如输出重定向到/etc/passwd. 如果您用于sudo控制 root 访问,请检查大约时间的 sudo 日志(文件上的修改时间会告诉您它何时被清零,很可能)。
而且,看在上帝的份上,离开 Red Hat 5.7。您运行的操作系统的补丁已经过时了将近一年,并且没有合理的理由将. Red Hat 的补丁策略是任何版本的软件包都不会在操作系统的主要版本中出现;补丁被反向移植。这样做的全部意义在于,您应该能够在不危及任何功能的情况下始终保持 RHEL5 的补丁。
在很多方面,甚至没有“Red Hat 5.7”这样的东西;RHEL 5.7 并不是真正的操作系统发布版本,它只是 2012 年 3 月 12 日 RHEL5 补丁的当前状态划出的一条线。当您说“我正在运行 RHEL 5.7”时,您实际上是在说“我正在运行 RHEL 5,但我已经过时了一年”。
| 归档时间: |
|
| 查看次数: |
296 次 |
| 最近记录: |