ldd /usr/sbin/sshd | grep libwrap
应该要显示 libwrap.so.0 => /usr/lib/libwrap.so.0 (0x00655000)
但我的没有
TCP wrapper 好像无法正常执行 host.deny 没办法运作
请问我要怎么先让host.deny运作呢???
感谢各位

先看看sshd的checksum对不对吧... 第一次听到这种判断法

我刚才检查了 md5sum 跟其他一样版本电脑的值不一样

deny ALL:ALL?

tcpwrapper 目期没有作用我deny all 的但我还是可以log in/usr/sbin 下多了 很多 sshd;503dd81d 之类的档案

看看那个sshd;503dd81d是否和正常机大小和md5一样,有可能是原版的备份,做为入侵绕道后的出口让其他使用者不察觉若是先用那个盖掉目前的sshd（看你要不要先留入侵档备份)但连tcpwrapper都异常,可能太多入侵途径,或许先离线把系统搞定(备份资料+重灌+上安全修正档等)再上线才是上策

刚闪过一个想法，不晓得有没有可能在这种时候安装一些软件，可以把内建的系统指令换掉，像是一定会用到的cd ls cat 这些换成可以记录骇客资讯的版本？

你该看的是和自己发行版安装的版本的checksum,debian在/var/lib/dpkg/info/openssh-server.md5sums真的被入侵的话至少把所有的package重装一次吧,不然也可以用script检查一下有哪些binary己经中了

如果没概念该怎么查，那资料备一备，重装比较保险。难保不会漏了什么后门没补。

老实说，练习备份跟重灌也是必经之路

除非很有时间慢慢查，不然建议直接重灌，不用半天就搞定了弄一颗新硬盘重灌，将就硬盘MOUNT在下面班设定与资料最快当然，新灌好之后，一些安全设定要记得做。