[問題] 如何查詢某檔案被哪些程序改過

看板Linux作者 (knem)時間15年前 (2010/08/04 18:05), 編輯推噓2(206)
留言8則, 5人參與, 最新討論串1/1
由於最近 NAS 上的 linux 被入侵 對方建立一個 guest 帳號,並且硬將FTP改成 guest 來執行 因此就可以藉由 guest 來登入系統 最後處置手段是要砍掉 guest 這個帳號 但是在啟動 proftpd 時,會由於無 .conf 中查無 guest 帳號而無法啟動 .conf 會一直被某個 admin 權限的程序覆蓋掉 (已刪除所有guest帳號的程序) 想請問版上大大們 該如何得知,是哪個程序來覆蓋掉檔案? (系統有無此紀錄檔?) -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.116.39.218
08/04 18:16, , 1F
重灌比較快,你並無法得知還改了什麼的情況下。。。
08/04 18:16, 1F
08/04 19:14, , 2F
我如果成功入侵,不會只留一個後門。
08/04 19:14, 2F
08/04 21:04, , 3F
用ps aux|grep .conf來看看
08/04 21:04, 3F
08/04 21:04, , 4F
加上netstat -nl來看看有沒有後門
08/04 21:04, 4F
08/04 21:23, , 5F
謝啦~ 我試看看
08/04 21:23, 5F
08/04 21:24, , 6F
可以請樓上說明清楚一點嗎? 我透過ps aux那段指令 得到一些
08/04 21:24, 6F
08/04 21:24, , 7F
清單 不過不曉得作用
08/04 21:24, 7F
08/17 10:56, , 8F
ps aux|grep .conf 指的是目前正在背景執行.conf相關程式
08/17 10:56, 8F
更多 knme 的文章
文章代碼(AID): #1CMJj_X0 (Linux)