如何查詢某檔案被哪些程序改過 - Linux

Sandy avatar
By Sandy
at 2010-08-04T18:05

Table of Contents


由於最近 NAS 上的 linux 被入侵

對方建立一個 guest 帳號,並且硬將FTP改成 guest 來執行

因此就可以藉由 guest 來登入系統




最後處置手段是要砍掉 guest 這個帳號

但是在啟動 proftpd 時,會由於無 .conf 中查無 guest 帳號而無法啟動

.conf 會一直被某個 admin 權限的程序覆蓋掉 (已刪除所有guest帳號的程序)



想請問版上大大們

該如何得知,是哪個程序來覆蓋掉檔案? (系統有無此紀錄檔?)


--

--
Tags: Linux

All Comments

Anonymous avatar
By Anonymous
at 2010-08-08T17:21
重灌比較快,你並無法得知還改了什麼的情況下。。。
Queena avatar
By Queena
at 2010-08-09T21:27
我如果成功入侵,不會只留一個後門。
Agnes avatar
By Agnes
at 2010-08-10T04:48
用ps aux|grep .conf來看看
加上netstat -nl來看看有沒有後門
Brianna avatar
By Brianna
at 2010-08-10T22:22
謝啦~ 我試看看
Kyle avatar
By Kyle
at 2010-08-11T12:46
可以請樓上說明清楚一點嗎? 我透過ps aux那段指令 得到一些
清單 不過不曉得作用
Tristan Cohan avatar
By Tristan Cohan
at 2010-08-16T02:36
ps aux|grep .conf 指的是目前正在背景執行.conf相關程式

binary code 同名

Zora avatar
By Zora
at 2010-08-04T12:16
目前我有兩個library,一個是有自行修改過(A),一個沒有(B) 兩個編出來的執行檔名稱都會一樣 因為我需要利用這兩個資料夾底下的binary exec file來執行其他東西 因此將兩個export到PATH中 可是有個問題,就是有時候是要用A的binary exec file執行,有時用B ...

ubuntu 8.04 升級成 10.04

Lauren avatar
By Lauren
at 2010-08-04T10:49
※ 引述《hmbay (hmbay)》之銘言: : 目前是使用8.04 : 想升級成10.04 : 看到建議是下載再安裝 : 而且我之前升級到一半也因為要換地方使用筆電停止 : 想請問一下因為我8.04系統裡面有跑研究用的程式 很重要的話就不要升級。 我從 8.04 升級到1 ...

ubuntu 8.04 升級成 10.04

David avatar
By David
at 2010-08-04T10:31
目前是使用8.04 想升級成10.04 看到建議是下載再安裝 而且我之前升級到一半也因為要換地方使用筆電停止 想請問一下因為我8.04系統裡面有跑研究用的程式 重新下載iso安裝10.04會把系統重灌不見嗎? 因為當初設那些 path 指向也設了很久 謝謝 - ...

Re: linux 指令

Gary avatar
By Gary
at 2010-08-04T02:11
恩 在這邊分享一下我學習Linux的心得好了 受惠於我們系上老師跟助教的努力 我可以在學校就能上到Linux相關很多的課程 而且不用額外繳錢 而學習的方法 因為我曾經休學過 第一次學習Linux的時候 因為經費是跟教育部申請的 所以老師們有所謂的and#34;業績壓力and#34; 也就是證照 ...

virtual box 3.2.6灌ubumtu

Elma avatar
By Elma
at 2010-08-03T23:09
在嘗試用virtual box灌ubuntu 結果出現錯誤 http://ppt.cc/Q3kz 請問是我設定上有問題嗎? 謝謝 - ...