給未來的裕翔
由於iptables的POLICY是ACCEPT
由於hosts.allow和hosts.deny沒有設定
由於貪圖一時方便, 設一個密碼同帳號的暫時使用者
一切的一切
讓我電腦被駭了
------------回憶分隔線------------
一早開電腦時發現cpu用量異常高
以top查詢後, 看到高cpu用量的process都是使用者guest擁有
這不是我開給小冠冠的帳號嗎!
跑去看/var/log/secure
果不其然!
看到一堆人登入我電腦了! ex:
Mar 16 02:49:29 localhost sshd[20311]: Accepted password for guest from 88.26.195.196 port 58363 ssh2
趕快service network stop
又擔心他們早已對我電腦cron一個網路自動重啟
於是把網路線拔掉!
由於當下無法成功移除guest
只好先重開機再userdel -r guest
又去看了/var/log/messages
rtkit-daemon[1941]: Sucessfully made thread 2454 of process 2454 (/usr/bin/pulseaudio) owned by '500' high priority at nice level -11
的確用top也有看到pulseaudio不尋常的nice值
不過使用rpm -V pulseaudio卻沒異常
可是剛才的訊息裡有出現rtkit
rootkit!?
先yum erase -y pulseaudio再說!
馬上安裝rkhunter, 不過不能用
也來不及google了, 因為跟別人有約再先~
------------回憶結束線------------
過了一陣子
去google處理掉我的rkhunter使用問題
以rkhunter掃了一下
似乎無異狀^^
但還是對早上的rtkit耿耿於懷
rpm -qi rtkit
發現rt是real time縮寫!
也許早上緊張過頭了
不過還是好擔心
會不會其實是兩段式?
讓我自以為應該沒事而鬆懈的同時
有個真正的rootkit正在鑽洞?
不知道, 知道也無可奈何
我還太弱了~
No comments:
Post a Comment