可能重复:
我的服务器被黑了紧急情况
我的 Linux 机器最近被黑了。
/etc/inittab 下面有几个完整的
#end of /etc/inittab
就像是:
#Loading standard ttys
0:2345:once:/usr/sbin/ttyload
我还有以下几行:
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
.
.
.
我知道我/usr/sbin/ttyload的被黑了,我已经去掉了,但是我不知道我是否需要这个是inittab,也不知道我之前有没有ttyload。这个文件通用吗?
我应该删除这一行吗?
那是为了在启动时重新感染系统... rootkit 提取的另一部分是,在您确定存在哪些后门或触发器可以重新感染您的系统之前,您是不安全的。
我在您之前的问题中给出的rpm verify 命令还会检查配置文件,以向您显示与包默认值相比发生了什么变化。
rpm -vVa | grep 'S\.5\.\.\.\.\T'将输出更改的二进制文件和配置文件(用“c”表示)例如:
“c”表示配置文件已更改。
rpm -qf /path/to/file将向您显示包含该文件的包。您可以擦除或移动文件并重新安装 rpm 包以覆盖它。带有 mingetty 的行应该留在那里。简而言之,您可以使用 ctrl+alt+f{1-6} 访问的控制台数量。通常第 7 个是您的图形环境。
关于 ttyload,因为它不在您的系统中,所以您不需要该行。
是的,这条线需要删除。这是一个调用两个受感染文件等的黑客脚本......
更多在这里。