เหตุการณ์แบบนี้อาจจะเกิดขึ้นกับท่าน อย่างน้อยจะได้ป้องกันได้ถูก
เพื่อจะได้เป็นการแบ่งปันประสบการณ์
** เมื่อเราใช้คำสั่ง ps -aux | more แล้วพบว่ามี PID (Process ID)
บางหมายเลขที่มีการ log on เป้นที่ user ที่ท่านไม่รู้จัก
จะทำอย่างไร
ตอบ เราสามารถใช้คำสั่ง kill ตามด้วยหมายเลข Process ของ PID นั้น ๆ
ได้ครับ เพื่อเป้นการตัด connection ของเขาครับ เช่น kill 657 เมื่อ
657 คือ Process ID ของ user
ที่เราไม่รู้จักหรือแปลกปลอมเข้ามาใช้ในระบบ
ทำอะไรต่อไปดี?
ตอบ 1. ตรวจสอบว่าในไฟล์ /etc/passwd มี user
ใหม่เกิดขึ้นที่คิดว่าน่าสงสัยเกิดขึ้นมาหรือไม ถ้ามี
ให้ใส่เครื่องหมาย # หน้าบรรทัดนั้นคัรบ เพื่อไม่ให้เขา login
เข้าระบบอีก
2. อย่าลบ user ที่คิดว่า hacker ใช้เข้ามาในระบบทันที
เพราะเขาอาจจะวางกับดับสำหรับคุณแล้วก็ได้ให้ทำตามข้อ 1.
ก่อนครับ
3. ทำการเปลี่ยน password ของ root ทันที
เมื่อคุณอยู่ที่หน้าจอ
4. ใช้คำสั่ง last | more เพื่อติดตามพฤติกรรมของ user นั้นๆ
ว่าทำอะไร และเวลาไหนไว้บ้าง
5. โทรแจ้ง 191 ว่ามีผู้บุกรุกครับ (ล้อเล่น อันนี้ไม่ต้องนะครับ)
6. ไม่รู้จะทำอะไรแก้ไขไม่ถูก บางคนอาจจะดึงสาย Lan ออกก็ได้ อิ อิ
อ้างอิงจาก : อ.กิตติพงษ์
thaibsd.com
