今天进去我的备份服务器里，随便打了一个lastlog，居然发现mysql今天早上8点多竟然登录过一次。（貌似，当时我正在睡觉。。。）
mysql            pts/1    89.38.241.240    日  5月 27 08:34:34 +0800 2007
查了一下IP，发现是罗马尼亚的小伙子干的。。。
查询结果二： 89.38.241.240   -  罗马尼亚
这个时候，我才想起来，我在配置MYSQL服务器的时候，直接建立了一个mysql用户，密码也是mysql。而且，为了逃避比较繁琐的权限的设置，我直接就chmod -R 777 /mysql了。。。（我编译安装MYSQL的时候，数据库文件是/mysql。）
这就导致了入侵者，可以直接连接SSH（系统默认启动的服务）。
这里解释一下为什么外网能够连SSH。因为我人懒，能直接连的，我不会去间接连，我内网的一些机器的服务，我都在路由器上开了映射，方便我在外网能够访问，而且，我还怕人重启了路由（我这里是动态IP），甚至在一台主服务器上弄了个花生壳。呵呵。（因为我不想记IP，域名怎么样也比IP地址好记）
这就导致外网能够通过SSH访问我的内网，并且，还是用一个最弱智的MYSQL的最弱智的MYSQL密码。。。想想，都觉得自己太大意了。。。
ok。了解了他如何进来的，我就做些补救措施。。。
首先先给MYSQL改个牛逼的密码。。。
passwd mysql
然后，限制MYSQL登录。
vi /etc/passwd
mysql:x:27:27:MySQL Server:/mysql:/sbin/nologin
好了，现在，我们需要做的事，是看他在我的系统里干了什么。。。（我在限制MYSQL登录之前，用MYSQL帐号登录，看了一下他的history记录。。。呵呵）

先w一下。。。发现。。。
[root@choatrue /]# w
09:53:14 up 1 day,  6:03,  3 users,  load average: 0.02, 0.02, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/1    192.168.1.100    09:27    2:26   0.25s  0.25s -bash
mysql    pts/2    89.38.241.240    08:50    1:02m  0.08s  0.08s -bash
root     pts/3    192.168.1.100    09:38    0.00s  0.17s  0.02s w
这个家伙，一直还连着呢。。。够狠的。。。

再看了history，发现，他就在我系统里装了个bots。。。（流汗中……）
1  cd bots
2  chmod +x *
3  ./sshd
然后看看进程。。。
ps -ef
mysql    29912 29897  0 08:50 ?        00:00:00 sshd: mysql@pts/2
mysql    29913 29912  0 08:50 pts/2    00:00:00 -bash
mysql    29987     1  0 08:54 ?        00:00:00 ./sshd
把这3个进程干掉，把他从我系统里彻底的踢出去。。。
kill -9 29912（其实只要干掉2个就可以了，把他的SSH连接断掉，BASH自然就没有了）
kill -9 29987
好了，把敌人清除出我的系统后，我就要看看，他给我装的东西了。。。

[root@choatrue bots]# ll
总计 584
-rwxr-xr-x 1 mysql mysql    622 05-27 09:00 1
-rwxr-xr-x 1 mysql mysql    536 05-14 00:01 2
-rwxr-xr-x 1 mysql mysql    622 05-27 09:00 3
-rwxr-xr-x 1 mysql mysql    622 05-27 09:00 4
-rwxr-xr-x 1 mysql mysql  22936 2005-02-11 kswap.help
-rwxr-xr-x 1 mysql mysql   1085 05-27 09:00 kswap.levels
-rwxr-xr-x 1 mysql mysql      6 05-27 08:54 kswap.pid
-rw-r--r-- 1 mysql mysql   1318 05-27 09:00 kswap.session
-rwxr-xr-x 1 mysql mysql   3996 05-14 00:01 kswap.set
-rwxr-xr-x 1 mysql mysql   3996 05-14 00:04 kswap.set~
-rwxr-xr-x 1 mysql mysql    495 05-27 09:14 LinkEvents
-rw-r--r-- 1 mysql mysql    978 05-27 09:50 MasT3r```.seen
-rw-r--r-- 1 mysql mysql    815 05-27 09:50 MasT3r``.seen
-rw-r--r-- 1 mysql mysql    464 05-27 09:50 MasT3r`.seen
-rw-r--r-- 1 mysql mysql    933 05-27 09:50 MasT3r.seen
drwxr-xr-x 2 mysql mysql   4096 05-27 08:52 randfiles
-rwxr-xr-x 1 mysql mysql 504464 2005-02-11 sshd
稍微看了看，是个irc程序。。。看来这个小伙子对聊天很感兴趣，我对聊天没什么兴趣。。。
好了。直接干掉。。。
rm-rf bots

世界清净了。。。

如果有朋友对这个irc程序感兴趣（估计感兴趣的不多），可以去我的FTP里下载。。。
bots程序


谢谢观看。。。

帮你顶你一下吧，要是我进去了你就完了 ，根本不给你留什么日志。
也不装什么IRC聊天软件，直接....... 不说了,再说你炸了。

呵呵，我们这里私下讨论一下。。。
这个小伙子肯定是个新手。。。
什么都不做，就直接装个IRC。。。
我都流汗了。。。

你给我个思路，你怎么搞？我也好做好安全防护。。。

厉害,敢于设成777,看来对方的主要目标不是你撒,可能是NetSeek,也可能是我的服务器,呵,开个玩笑

我不是为了节省时间么。。。
一个目录一个目录的设置权限太麻烦了。。。呵呵。。。

顶一下！

顶

,顶

顶..........

问楼主一下,  history怎么看呀?