我发现我一个朋友不知道怎么修改的系统东西,或添加了什么程式,让从一个机子A上telnet到B机上,而在B机上无论发出"w""who""finger"等一些命令都无法查看这个ttyp*项?哪位大侠告诉这是怎么回事,他修改了b机子上的什么文档,才成了这种情况?

CNL 回复于:2005-05-18 08:42:35
这个只要登陆后清掉utmp/utmpx/wtmp/wtmpx就行了
# > /var/adm/utmp
# > /var/adm/utmpx
# > /var/adm/wtmp
# > /var/adm/wtmpx
能够自己登陆后体验一下,w/who/finger命令读的是上述文档

天外飞仙0806 回复于:2005-05-18 17:01:31
不对呀,他只是查看不到自己(也就是从A机的正在登录情况)别的能够正常查看的,假如像楼上这位朋友所指点的,把这些记录文档若清空,那么是能够查看不到了,但是是查看不到任何的记录了,和我所问的有所不同
那位朋友请再次指点一下?

CNL 回复于:2005-05-18 17:31:50
网上随便下载个编辑utmp和wtmp的工具比如wted就够了,清除指定的登陆信息易如反掌
(当然这些东西一般称为木马工具哦)
类似的工具更有:
crontab 经过木马化的系统程式,隐藏定时任务
du 经过木马化的系统程式,隐藏文档
find 经过木马化的系统程式,隐藏文档
fix 文档修复器
ifconfig 经过木马化的系统程式,隐藏活动的嗅探器
inetd 经过木马化的系统程式,实现远程访问权限
killall 经过木马化的系统程式,不能杀掉被隐藏的进程
linsniffer 嗅探器
login 经过木马化的系统程式,实现远程访问权限
ls 经过木马化的系统程式,实现隐藏文档
netstat 经过木马化的系统程式,实现隐藏网络连接
passwd 经过木马化的系统程式,实现获得root权限
pidof 经过木马化的系统程式,实现隐藏进程
ps 经过木马化的系统程式,实现隐藏进程
rshd 经过木马化的系统程式,实现获得远程访问权限
sniffchk 经过木马化的系统程式,实现检测嗅探器是否在运行
syslogd 经过木马化的系统程式,隐藏特定的log信息
tcpd 经过木马化的系统程式,隐藏连接,避免远程连接被拒绝
top 经过木马化的系统程式,实现隐藏进程
z2 Zap2 utmp/wtmp/lastlog擦除器
sshd sshd程式

使用这些东西的前提是您自己对系统很熟, 能够有能力让木马听您的,
否则很可能把自己捎带进去,那样做就不值得了,假如研究对策可去绿盟看看

fl.w 回复于:2005-06-15 08:21:38
明白了!