ldd /usr/sbin/sshd | grep libwrap
應該要顯示 libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00655000)
但我的沒有
TCP wrapper 好像無法正常執行 host.deny 沒辦法運作
請問我要怎麼先讓host.deny運作呢???
感謝各位

先看看sshd的checksum對不對吧... 第一次聽到這種判斷法

我剛才檢查了 md5sum 跟其他一樣版本電腦的值不一樣

deny ALL:ALL?

tcpwrapper 目期沒有作用我deny all 的但我還是可以log in/usr/sbin 下多了 很多 sshd;503dd81d 之類的檔案

看看那個sshd;503dd81d是否和正常機大小和md5一樣,有可能是原版的備份,做為入侵繞道後的出口讓其他使用者不察覺若是先用那個蓋掉目前的sshd（看你要不要先留入侵檔備份)但連tcpwrapper都異常,可能太多入侵途徑,或許先離線把系統搞定(備份資料+重灌+上安全修正檔等)再上線才是上策

剛閃過一個想法，不曉得有沒有可能在這種時候安裝一些軟體，可以把內建的系統指令換掉，像是一定會用到的cd ls cat 這些換成可以記錄駭客資訊的版本？

你該看的是和自己發行版安裝的版本的checksum,debian在/var/lib/dpkg/info/openssh-server.md5sums真的被入侵的話至少把所有的package重裝一次吧,不然也可以用script檢查一下有哪些binary己經中了

如果沒概念該怎麼查，那資料備一備，重裝比較保險。難保不會漏了什麼後門沒補。

老實說，練習備份跟重灌也是必經之路

除非很有時間慢慢查，不然建議直接重灌，不用半天就搞定了弄一顆新硬碟重灌，將就硬碟MOUNT在下面班設定與資料最快當然，新灌好之後，一些安全設定要記得做。