アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
RPM系Linuxの場合 (スコア:2, 参考になる)
ネットワークの無効化
# /etc/init.d/network stop
ログを保存
# tar zcvf /mnt/usb-hdd/log.tar.gz /var/log
変なユーザを探す
# who
変なプロセスを探す
# top
バックグラウンドでrpm監査コマンドを実行
# rpm -Va > /tmp/valid.txt 2> /dev/null &
rpmの監査が終わるまでsyslogの中身を読む
# lv /v
Re:RPM系Linuxの場合 (スコア:1)
log関係は、あてにならないので、procを
直接覗いて変な物動いてないか確認した
良いんじゃないかと思います。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:RPM系Linuxの場合 (スコア:1, 参考になる)
カーネルレベルで仕込む事ができるんで、この方法でも、
procfsを改竄されたら終わりですよ?
調査するなら、ディスク外して別の安全なマシンでマウントするんでしょうけど
シャットダウンすると消える証拠もあるし。
次善の柵として、chkrootkit と基本コマンドをCDか何かで用意して実行、
netstat や lsof も見て、
詳細調査はディスクを外して、か。