由於最近 NAS 上的 linux 被入侵
對方建立一個 guest 帳號,並且硬將FTP改成 guest 來執行
因此就可以藉由 guest 來登入系統
最後處置手段是要砍掉 guest 這個帳號
但是在啟動 proftpd 時,會由於無 .conf 中查無 guest 帳號而無法啟動
.conf 會一直被某個 admin 權限的程序覆蓋掉 (已刪除所有guest帳號的程序)
想請問版上大大們
該如何得知,是哪個程序來覆蓋掉檔案? (系統有無此紀錄檔?)
--
--
如何查詢某檔案被哪些程序改過 - Linux
· 2010-08-04Table of Contents
由於最近 NAS 上的 linux 被入侵
對方建立一個 guest 帳號,並且硬將FTP改成 guest 來執行
因此就可以藉由 guest 來登入系統
最後處置手段是要砍掉 guest 這個帳號
但是在啟動 proftpd 時,會由於無 .conf 中查無 guest 帳號而無法啟動
.conf 會一直被某個 admin 權限的程序覆蓋掉 (已刪除所有guest帳號的程序)
想請問版上大大們
該如何得知,是哪個程序來覆蓋掉檔案? (系統有無此紀錄檔?)
--
--
All Comments