摩托學園討論區

[lacsaplee]

今天早上起來用電腦時,發現硬碟在跑,但是我又沒執行甚麼程式,只有用 firefox 上網,心裡覺得奇怪,用top指令一看,竟然有一個 find 的程式在執行,所有者為 nobody,趕緊把網路線拔掉,想請教各位高手這樣是不是被入侵了?
謝謝~

[訪客]

根據我的第六感. 該名駭客極有可能是crontab.

它其實算是一名偉大的駭客...
去google查一下就知道它有多厲害了.

[lacsaplee]

根據我的第六感. 該名駭客極有可能是crontab.

它其實算是一名偉大的駭客...
去google查一下就知道它有多厲害了.

感謝.....感謝.....

剛剛看一下 /etc/crontab
但是因為看不懂,
不知道跟 "nobody 執行 find " 的現象有沒有關係,
改天再研究好了..

只是出現這個情形的時候,
我把網路線拔掉,
後來隔了一陣子,
硬碟搜尋的聲音就沒了,
所以心理覺得毛毛的,
覺得是不是有人侵入,在搜尋我的電腦...
打算找時間再重灌debian.


SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user command
17 * * * * root run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || run-parts --report /etc/cron.daily
47 6 * * 7 root test -x /usr/sbin/anacron || run-parts --report /etc/cron.weekly
52 6 1 * * root test -x /usr/sbin/anacron || run-parts --report /etc/cron.monthly

[訪客]

你可以先用 tiger 查看看...

沒事不用重灌啦...

[I hacked 127.0.0.1]

Give you a tip,

/etc/cron.daily/find

[小黑]

可能是 crontab

但我上次的經驗就不是了

入侵者用 find (just a guess)把資料傳回他的主機, 但他竟然沒有用 rootkit 把我的 w 改掉,有點怪怪的

大家還是小心為上吧

[訪客]

題外話
你還蠻早起床的

[twu2]

不過一般 cron 裡頭是用 root 跑, 那個 nobody.... 看看你有那個 service 是用 nobody 跑的吧. 應該不正常.

[find? :Q]

check the file befor you challenged it.