2003系统的服务器被人黑了,多了一个root$帐户,删除不掉,怎么防范?

什么是ARP？
地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
假设:
计算机A的IP为19216811,MAC地址为00-11-22-33-44-01;
计算机B的IP为19216812,MAC地址为00-11-22-33-44-02;
ARP工作原理如下:
在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包的封装,在这个以太包中,目标地址就是B的MAC地址
计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。
在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(19216812),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。
A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。
本机MAC缓存是有生存期的,生存期结束后,将再次重复上面的过程。
二、谁能根本防护ARP欺骗攻击？
ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。但是最近发现，有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。我公司的技术服务人员接到很多用户反应说有些ARP防制方法很容易 *** 作和实施，但经过实际深入了解后，发现长期效果都不大。
对于ARP攻击防制，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此我们仅从ARP攻击防制的基本思想来进行解释。我们认为您如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。
I、不坚定的ARP协议
一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。
就像一个没有计划的快递员，想要送信给"张三"，只在马路上问"张三住那儿？"，并投递给最近和他说"我就是！"或"张三住那间！"，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。
我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。
由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到用户密码或破坏网络运作的目的。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：
1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。
2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。
3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。
以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。
PK 赛之"ARP echo"
ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。
但是这种作法，明显有几个问题：第一，即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；第三，还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。
以ARP echo方式对应ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二，ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。
图一：ARP攻击防制方法-----"ARP echo"
常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。
此外，ARP echo一般是发送网关及MAC的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。
PK 赛之"ARP绑定"
ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。
但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。
双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。
图二：ARP攻击防制方法-----"ARP双向绑定"
II、现阶段唯一解决方案----双向绑定
以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。
经我公司技术团队仔细研究，建议：面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对管理带来一定的工作量，但是其效果确是从根本上解决了问题。
三、沈家弄ARP欺骗攻击防护机房实现方式介绍：
从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
基于以上两种ARP欺骗的方式，软件园专用机房沈家弄IDC数据中心采用独立网段加上双向绑定的方法设立了防ARP欺骗攻击的专用机房，拓朴结构示意图如下：
ARP欺骗攻击防护实现方式:
外部防护
1、此防护区域使用独立网关，从电信路由层以独立VLAN的物理结构方式接入，与其他非防护区域服务器完全隔离
内部防护
2、防护专区中心交换机以机柜为单位划分VLAN，保证机柜之间无法直接通信，防止机柜之间的ARP 欺骗攻击。防护专区中心交换机进行 IP段—MAC---交换机端口 配对绑定，服务器只能在指定交换机机柜和指定交换机端口使用,防止内部ARP攻击机截获网关数据，进行欺骗攻击。
3、机柜交换机进行 IP—MAC—交换机端口 配对绑定，服务器只能在指定交换机端口使用，防止内部ARP攻击机发送虚假IP 地址，虚假MAC地址，伪造网关，进行欺骗攻击。
4、机柜交换机进行 网关IP—网关MAC 静态绑定，为机柜内部服务器提供静态的网关MaC地址解析。

ROOT是最高权限的意思，很多手机自带程序，部分程序占空间，又没用，可以获取最高权限（ROOT）来删除它们，也可以说是破解该手机或电脑。[1]
2计算机术语
现代 *** 作系统一般属于多用户的 *** 作系统，也就是说，同一台机器可以为多个用户建立各自的账户。允许拥有这些账户的用户同时登录这台计算机，这就涉及到计算机用户和资源的管理，GNU/Linux/Android的root帐号具有系统的所有权限，root密码的泄漏会导致整台计算机被完全地非法控制，所以root帐号在服务器上以及重要机器上是不允许直接使用的。取而代之的是管理员使用普通帐号，在必要时使用su提权。
root用户所在的组称为root组。“组”是具有相似权限的多个用户的集合。
需要注意的是，root用户是系统中唯一的超级管理员，它具有等同于 *** 作系统的权限，所以，如果用root进行了错误 *** 作后果可能是危险的，足以把整个系统的大部分文件删掉，导致系统完全无法再使用。所以，在Unix、Linux或Android中，除非确实需要，一般情况下不推荐使用root。最好单独建立一个普通的用户，作为日常之用。
不推荐使用root的另一个原因则是出于安全的考虑。[2]root具有系统的所有权限，root密码的不小心泄漏，足以导致整台计算机完全被窃取root密码的人所控制，这台计算机上的任何用户的任何数据，都会赤裸在root的目光之下。
有些任务必须由root才能执行，但Unix或Linux又推荐尽量不要使用，这构成了一个矛盾。于是产生了一个sudo的做法。即，把系统管理的一部分权限授予普通用户，并且只有在这些用户需要的时候，才允许这些用户暂时执行这些系统管理的命令。
root的家目录(/root)在默认情况下其他用户是无权访问的。这在一定程度上增强了整个系统的安全性，但不完全是。Unix、Linux或Android的安全性更在于它的高度可配置性，也就是说，Unix或者Linux的安全性更取决于系统管理员而不是Unix或Linux系统本身。一般的模式是：Unix、Linux和Android提供一种健全的安全机制，由系统管理员根据实际需要制定相应的安全策略，并且部署这些安全策略。“机制”是能做什么不能做什么，“策略”是要做什么不要做什么。而Windows的安全策略和安全机制则比较混乱，windows本身过于依赖安全策略，导致系统管理员在很多时候束手束脚，反而得不偿失。在同等水平的系统管理员的管理之下，我们可以认为Unix、Linux和Android的安全性一般远高于Windows。
3刷机术语
在Unix系统（如AIX、BSD等）和类UNIX系统（如Debian、Redhat、Ubuntu等各个发行版的Linux）中，系统的超级用户一般命名为root。root是系统中唯一的超级用户，具有系统中所有的权限，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等，相当于给iphone越狱，都是破除权限。
root就是手机的神经中枢，它可以访问和修改你手机几乎所有的文件，这些东西可能是制作手机的公司不愿意你修改和触碰的东西，因为它们有可能影响到手机的稳定，还容易被一些黑客入侵（Root是Linux等类UNIX系统中的超级管理员用户帐户）。
原理
手机制造商原始出厂的手机并未开放root权限，获取root的方法都是不受官方支持的，因此，获取root的方法都是利用系统漏洞实现的。而不同手机厂商可能存在的漏洞不同，也就导致了不同手机root的原理可能不同。不过，不管采用什么原理实现root，最终都需要将su可执行文件复制到Android系统的/system分区下(例如：/system/xbin/su)
并用chmod命令为其设置可执行权限和setuid权限。为了让用户可以控制root权限的使用，防止其被未经授权的应用所调用，通常还有一个Android应用程序来管理su程序的行为。root的基本原理就是利用系统漏洞，将su和对应的Android管理应用复制到/system分区。
目前最广泛利用的系统漏洞是zergRush，该漏洞适用于Android
22-236的系统，因而可以适用于过半的Android系统手机。其它的漏洞还有Gingerbreak, psneuter等等。[3]
基本方式
Windows CMD（需adbexe AdbWinUsbApidll AdbWinApidll
mempodroid su）
@echo off
set /p ANSWER=INPUT "Y" TO ROOT APHONE:
if %ANSWER%==Y
adb kill-server
adb start-server
adb push mempodroid /data/local/tmp/
adb push su /data/local/tmp/
adb shell chmod 777
/data/local/tmp/mempodroid;/data/local/tmp/mempodroid 0xd454 0xaac3 sh -c "mount
-o remount,rw -t ext4 /dev/block/mmcblk0p12 /system/;cat /data/local/tmp/su >
/system/xbin/su;chown 00 /system/xbin/su;chmod 6755 /system/xbin/su"
adb kill-server
)else echo YOU HAVE CHOOSEN "NO" !
pause
@echo on
GNU BASH（指其他非Windows平台，需adb mempodroid
su，64位GNU/Linux系统需安装库：apt-get install lib32stdc++6 lib32ncurses5）
#!/bin/bash
echo -ne 'INPUT "Y" TO ROOT APHONE:'
read ANSWER
if [ $ANSWER = Y ]
then
/adb kill-server
/adb start-server
/adb push mempodroid /data/local/tmp/
/adb push su /data/local/tmp/
/adb shell 'chmod 777
/data/local/tmp/mempodroid;/data/local/tmp/mempodroid 0xd454 0xaac3 sh -c "mount
-o remount,rw -t ext4 /dev/block/mmcblk0p12 /system/;cat /data/local/tmp/su >
/system/xbin/su;chown 00 /system/xbin/su;chmod 6755 /system/xbin/su"'
/adb kill-server
else echo 'YOU HAVE CHOOSEN "NO" !'
fi
注意：Android
23可能需要低版本的su，并且还需要busybox才能让Superuser正常工作。设备不同，“0xd454 0xaac3”部分可能需修改。
好处
可以备份系统。
使用高级的程序，例如屏幕截图、root explorer等等。
修改系统的内部程序。
将程序安装到SD卡中（Android22以下默认是不支持的）。
可以汉化：拥有ROOT权限，我们可以加载汉化包，实现系统汉化！由于系统固件版本firware都是10，所以都不支持简体中文输入，但是支持简体中文显示开发团队对此展开了工作。
可以通过ABUS查看已安装的软件：虽然没有ROOT权限，我们依然可以通过ABUS来安装软件和游戏，但是如果拥有ROOT权限的G1，我们可以通过ABUS查看其安装过的软件列表，方便我们管理。
可以更改主题：我们可以通过升级updatezip来实现更换主题的功能，当然updatezip包并不是一个单独的主题文件，其实就是升级一下。不过如果没有ROOT权限，我们就不能实现更换主题的功能
可以使用一些软件的全部功能，比如Screenshot。很多软件是需要访问并读写内部ROOT的，比如Screenshot，就必须有ROOT权限才可正常使用，如果相应的，我们获得了ROOT权限，那么有些软件就可以正常使用，并能发挥其特性了。
风险
如果在ROOT的过程中遇到问题，可能使手机变砖（无法开机）。
如果不小心安装了恶意软件，可能使手机系统不能正常运行。
个别手机厂商会检测用户是否曾进行ROOT *** 作，这可能与保修有关。
现今，某些手机厂商联合运营商，通过以root权限预装很多烦人的应用来牟利，而又以各种措施妨碍消费者获取管理员权限（root权限），强迫消费者接受这些预装的应用。并且可能会以此为由拒绝保修用户获取了root权限的手机，即便是硬件质量问题（如：HTC）。这些行为不仅严重侵害消费者权益，也存在泄漏消费者隐私的隐患，阻碍了智能手机行业的健康发展。[2]
4需求人群
Hacker，喜欢对系统进行Hacking的人。
开发人员，命令行控制设备是必须的。
是普通用户，但一些特殊软件安装不了，例如用于截屏的程序，卸载系统自带软件的程序，都要求ROOT权限。
一个软件超级体验狂，每天不下载50个应用程序尝试晚上就睡不着。Android手机自带存储空间太小，所以要将软件装到SD卡上。
买Android就是为了自己可以有选择性的定制系统，否则就会选择入手iPhone了。
5一键root工具
从2013年开始，有很多一键root软件极大方便了用户。
6卓大师Root专家
卓大师root专家致力于开发最快捷简单的一键root工具，我们每天都在朝着这个目标努力。大家的支持就是我们前进的动力！我们的目标是：没有最好，只有更好！
1、安全快捷无需安装，简介舒适的 *** 作见面。
2、完全绿色版，下载后连接手机直接点击开即可 *** 作。
3、强大的自制root引擎包含市面上多数手机无需重启秒杀root。
百度一键root
百度出品安卓工具， *** 作简单，安全无风险，轻松获取最高权限。最安全最好用对的安卓手机Root工具。Root后，可以删除手机预装应用，管理开机自启动，提升手机性能。
ROOT大师
ROOT大师作为人气极高的root工具，是刷机大师团队潜心研究开发的绿色版免安装用于pc端一键获取安卓手机root权限的神器，可完美支持三星、HTC、索尼、华为、中兴、联想、酷派等5000+型号的机型。
Kingroot
Kingroot是由Kingroot工作室开发，针对安卓系统一键获取ROOT权限的软件，分为手机、PC两个版本，可分别于手机和电脑端 *** 作获取ROOT权限，是全球首款跨平台的一键ROOT软件。支持Android（安卓）22-
Android（安卓）23以及部分Android（安卓）40手机。 *** 作简单稳定。
Eroot
Eroot(手机一键Root工具) 中文版是由国内root团队开发的一款免费root工具。是手机root界的后起之秀
金山手机助手root大师
采用高端root技术，至今已有3000+的手机可以成功进行一键root，可谓在手机root界功不可没。

另外一个例子，pam_limitsso模块也可以使用在对一般应用程序使用的资源限制方面。举例来说，如果需要在SSH服务器上对来自不同用户的ssh访问进行限制，就可以调用该模块来实现相关功能。例如，当需要限制用户admin登录到SSH服务器时的最大连接数（防止同一个用户开启过多的登录进程），就可以在/etc/pamd/sshd文件中增加一行对pam_limitsso模块的调用：
session required pam_limitso
然后在/etc/security/limitsconf文件中增加一行对admin用户产生的连接数进行限定：
admin hard maxlogins 2
完成之后重启服务器端的sshd服务。
之后我们可以看到，从客户端以admin身份登录SSH服务器时，在客户端上可以打开两个控制台登录。但当客户端开启第三个登录窗口的时候会被服务器拒绝，但其它用户不会受到限制。

---