เหตุการณ์แบบนี้อาจจะเกิดขึ้นกับท่าน อย่างน้อยจะได้ป้องกันได้ถูก เพื่อจะได้เป็นการแบ่งปันประสบการณ์

** เมื่อเราใช้คำสั่ง ps -aux | more แล้วพบว่ามี PID (Process ID) บางหมายเลขที่มีการ log on เป้นที่ user ที่ท่านไม่รู้จัก จะทำอย่างไร

ตอบ เราสามารถใช้คำสั่ง kill ตามด้วยหมายเลข Process ของ PID นั้น ๆ ได้ครับ เพื่อเป้นการตัด connection ของเขาครับ เช่น kill 657 เมื่อ 657 คือ Process ID ของ user ที่เราไม่รู้จักหรือแปลกปลอมเข้ามาใช้ในระบบ

ทำอะไรต่อไปดี?
ตอบ 1. ตรวจสอบว่าในไฟล์ /etc/passwd มี user ใหม่เกิดขึ้นที่คิดว่าน่าสงสัยเกิดขึ้นมาหรือไม ถ้ามี ให้ใส่เครื่องหมาย # หน้าบรรทัดนั้นคัรบ เพื่อไม่ให้เขา login เข้าระบบอีก

2. อย่าลบ user ที่คิดว่า hacker ใช้เข้ามาในระบบทันที เพราะเขาอาจจะวางกับดับสำหรับคุณแล้วก็ได้ให้ทำตามข้อ 1. ก่อนครับ

3. ทำการเปลี่ยน password ของ root ทันที เมื่อคุณอยู่ที่หน้าจอ

4. ใช้คำสั่ง last | more เพื่อติดตามพฤติกรรมของ user นั้นๆ ว่าทำอะไร และเวลาไหนไว้บ้าง

5. โทรแจ้ง 191 ว่ามีผู้บุกรุกครับ (ล้อเล่น อันนี้ไม่ต้องนะครับ)

6. ไม่รู้จะทำอะไรแก้ไขไม่ถูก บางคนอาจจะดึงสาย Lan ออกก็ได้ อิ อิ

อ้างอิงจาก :  อ.กิตติพงษ์     thaibsd.com