可能重复:
我的服务器被黑了 紧急求助
我的 Linux 机器最近被黑客入侵了。
/etc/inittab 中有几个条目,位于
#end of /etc/inittab
就像是:
#Loading standard ttys
0:2345:once:/usr/sbin/ttyload
我还有以下几行:
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
.
.
.
我知道我的/usr/sbin/ttyload已经被黑了,我也删除了,但是我不知道这个是inittab还是其他什么,也不知道我之前有没有ttyload,这个文件是常用的吗?
我应该删除这一行吗?
答案1
这是为了在启动时重新感染系统...rootkit 提取的另一部分是,除非您确定存在哪些后门或触发器来重新感染您的系统,否则您是不安全的。
这我在上一个问题中给出了 rpm verify 命令还会检查配置文件来显示与软件包默认值相比发生了哪些变化。
rpm -vVa | grep 'S\.5\.\.\.\.\T'将输出更改的二进制文件和配置文件(用“c”表示)
例如:
S.5....T c /etc/httpd/conf/httpd.conf
S.5....T c /etc/snmp/snmpd.conf
“c” 表示配置文件已更改。rpm -qf /path/to/file将显示包含该文件的软件包。您可以擦除或移动该文件,然后重新安装 rpm 软件包以覆盖它。
答案2
带有 mingetty 的行应该保留在那里。简而言之,您可以使用 ctrl+alt+f{1-6} 访问控制台的数量。通常第 7 个是您的图形环境。
关于 ttyload,由于它不在您的系统中,所以您不需要那行。
答案3
是的,这行需要删除。这是一个黑客脚本,调用两个受感染的文件等...