金融其它

救命贴 /etc目录权限被更改为640

早上发现普通用户都无法登陆系统,但ROOT用户能登陆;
后检查发现,/etc目录权限由755 被改成了 640

之前只做过以下动作:
1因HACMP报verify问题，故用root查看hacmp clverify.log ;
2用root 做了snap -ec,并用ROOT通过WINCOMMAND(FTP工具)把snap包拿下来

请问有何可能会更改/etc的权限.

是否只有chmod才能修改权限?

如何能查看权限变更情况。

如何排查谁更改的权限。

救命啊！！否则就被当误操作处理了！！！

关注0

参与176

90同行回答
全部行业
全部行业 金融其它 IT分销/经销 互联网服务 电信运营商 系统集成 银行 政府机关 微电子/半导体 基金
|
按赞同排序
按时间排序

wangliangkaiser系统运维工程师cxsoft

有点难度收起

系统集成 · 2009-11-25

查看赞同的人

skyzqq系统运维工程师中国联通河南省分公司

时间点基本上确定了，但IBM就是说人为的，但又查不出其他情况。
我也怀疑恶意脚本，但如何来查。
fyuansheng 发表于 2009-11-25 16:47

有了时间点首先检查当时有哪些操作，是否有自动执行脚本。如果有恶意脚本他总得FTP或者vi吧，查登录记录。必要的话配合门禁、监控等一起对收起

电信运营商 · 2009-11-25

查看赞同的人

fly_1203系统工程师北京银信长远科技有限公司

问题很棘手，后果很严重。收起

互联网服务 · 2009-11-25

查看赞同的人

simon_cheng系统运维工程师颀中科技（苏州）有限公司

不可以吧查吧，上次也遇到这样的情况，郁闷死我了……收起

微电子/半导体 · 2009-11-25

查看赞同的人

fyuansheng系统管理员home

时间点基本上确定了，但IBM就是说人为的，但又查不出其他情况。
我也怀疑恶意脚本，但如何来查。收起

金融其它 · 2009-11-25

查看赞同的人

lazyman系统工程师TG

没看到有修改权限的命令呀收起

互联网服务 · 2009-11-25

查看赞同的人

colins

系统工程师金融行业

这个没见有修改权限的操作。收起

银行 · 2009-11-25

查看赞同的人

fyuansheng系统管理员home

.sh_history中只有我们早上自己打过的命令，
cd /var
  ls -ltr
  cd hacmp
ls -ltr
  cd clverify
  ls -ltr
  more vlverify.log
  more clverify.log
  ls -ltr
  more clverify.log |grep -i fail
    [ more clverify.log |grep -i error
exit
cd /var/hacmp/
ls -ltr
  cd vlverify
  cd clverify
  l s-ltr
  ls -ltr
  exit
cd var
ls
cd hacmp
ls
cd log
ls
ls -ltr
  snap -r
  snap -ec
df -g
  errpt | pg收起

金融其它 · 2009-11-25

查看赞同的人

lazyman系统工程师TG

看看.sh_history有什么命令？收起

互联网服务 · 2009-11-25

查看赞同的人

fyuansheng系统管理员home

我自己肯定没做过！！
现在咨询下的大家，有没有安全公司，能把修改权限的动作查出来！！

大家有没有好的安全公司来推荐。

现在是想查问题啊！！！收起

金融其它 · 2009-11-25

查看赞同的人

救命贴 /etc目录权限被更改为640

90同行回答
全部行业
全部行业 金融其它 IT分销/经销 互联网服务 电信运营商 系统集成 银行 政府机关 微电子/半导体 基金
|
按赞同排序
按时间排序

提问者

问题状态

救命贴 /etc目录权限被更改为640

90同行回答全部行业全部行业金融其它IT分销/经销互联网服务电信运营商系统集成银行政府机关微电子/半导体基金|按赞同排序按时间排序

提问者

问题状态

90同行回答
全部行业
全部行业金融其它 IT分销/经销互联网服务电信运营商系统集成银行政府机关微电子/半导体基金
|
按赞同排序
按时间排序