Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Моя Linux-машина недавно была взломана.
В / etc / inittab есть несколько записей ниже
#end of /etc/inittab
Что-то вроде:
#Loading standard ttys
0:2345:once:/usr/sbin/ttyload
У меня также есть несколько следующих строк:
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
.
.
.
Я знаю что мой /usr/sbin/ttyload был взломан, и я удалил его, но я не знаю, нужен ли мне этот inittab и был ли у меня ttyload раньше. Это общий файл?
Следует удалить эту строку?
Это нужно для повторного заражения системы при загрузке ... Другая часть извлечения руткитов заключается в том, что вы не в безопасности, пока не определите, какие существуют бэкдоры или триггеры для повторного заражения вашей системы.
В rpm verify команду, которую я дал в вашем предыдущем вопросе также проверяет файлы конфигурации, чтобы показать, что изменилось по сравнению с настройками пакета по умолчанию.
rpm -vVa | grep 'S\.5\.\.\.\.\T' будет выводить измененные двоичные файлы и файлы конфигурации (обозначены буквой "c")
Например:
S.5....T c /etc/httpd/conf/httpd.conf
S.5....T c /etc/snmp/snmpd.conf
«C» означает, что файл конфигурации изменился. rpm -qf /path/to/file покажет вам пакет, содержащий файл. Вы можете стереть или переместить файл и переустановить пакет rpm, чтобы перезаписать его.
Линии с mingetty должны остаться там. Проще говоря, есть количество консолей, к которым вы можете получить доступ с помощью ctrl + alt + f {1-6}. Обычно седьмая - это ваша графическая среда.
Насчет ttyload, поскольку его нет в вашей системе, вам не нужна эта строка.
Да, эту строчку нужно удалить. Это хакерский скрипт, вызывающий два зараженных файла и т. Д.