我单位一UNIX5.05系统怀疑被攻击，请教如何确定，如何查询日志，且单位有路由，不知如何能查。
　　　我放在/TMP目录下的两个文件不见了，但我从WINDOWN传出的记录可以再肯定它们应该在那。
　　　其它还有很多文件不见了，可最近系统并未有任何异常。
　　　望大家能指指一二，我是银行的，此事事关重大，可我只是怀疑，没多少证据，不敢往上报。如果只是开玩算删点程序还算事小，如果还有其它企图，那可就闹大了。

yhaa(yhaa):

    有检测工具是最好的
     我不是干安全这行的，不过我曾经遇到过几次攻击，是linux系统，我从我前面说的方法中，发现netstat 命令 ps命令被替换，上传正确的命令后，发现某个端口有个
可疑程序监听，于是进入/proc文件系统，发现了后门程序的安装路径，在一个
不可见字符创建的目录下，我找到了后门程序，然后又find到了一个后门程序的安装程序。攻击时间可以从安装程序目录来判断，淡然，如果last的日志没被修改的话，
也可以看出来

如果你有另一台机器有相同版本的操作系统，那么，你比较一下ps, netstat等命令的字节数是否一致。
   如果不一致，就肯定被hack了，你可以把正确的命令上传上去，运行一下，
   一般被hack之后，都有后门，netstat -a命令可以查看可疑端口

建议以后你用NIDS，其中SNORT就是一个免费又轻型的网络入侵检测系统，可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，能用来探测多种攻击和嗅探（如缓冲区溢出、秘密断口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。

如果看不见你的文件，很可能是ls也被人换了，我的机器也是刚被人黑了，有些文件看不到，但是，可以用ls 加文件名，能看到隐藏的文件（如果记得文件名的话）， 看一下你的文件还在否。把ls换成原来的就恢复正常了，不同版本的好象也能用，不过不知会否有问题，最好找一个版本相同的机器来替换一些常用的命令

建议用免费的扫描工具扫扫， 
修改所有的密码，删除不需要的用户，时时监控你的网络和主机

关注

up

网上有此类的专门工具，可以去google找一下

替换命令文件，然后自己做模拟入侵，看看有什么漏洞。不过后门一般发现不了，还得在本地上想办法