怎么知道别人是否进入过系统？

kickwu · 发表于 2005-11-22 14:16:04

我们公司的服务器用的是REDHAT 9和FEDORA 1。我们以前的系统管理员离开公司了，但是好象最近系统有点奇怪。以前的管理员有密码，当然我们已经换了。我看了所有的LOG，但是所有的LOG都没有任何信息，因为早就清空了！连/root/.bash_history和/var/log/wtmp都没有了！当然，这些文件的删除是用cron的，cron的添加可能早就做好了。这些文件是在cron里的：
/root/.bash_history
/var/log/cron
/var/log/messages
/var/log/lastlog
/var/log/maillog
/var/log/secure
/var/log/wtmp
我现在想请高人帮忙看看，能不能看看有其他什么地方我能够找到蛛丝马迹？

先在此谢了！

hew · 发表于 2005-11-22 19:38:08

整个chkrootkit 看看。

精神狂舞 · 发表于 2005-12-3 00:42:50

有一个很无聊的办法.连接你的打印机,让对方删掉他的侵入日志前就已经将侵入记录打印出来了.呵呵.

积木 · 发表于 2005-12-5 08:47:14

日志都没有了，基本就没有什么办法了。。。

kexen · 发表于 2005-12-9 15:18:49

usr command "last "

llzqq · 发表于 2005-12-9 19:14:54

没办法了，不及时备份日志的后果

		自动登录	找回密码
密码			注册