如何搭建一个linux的im追踪服务器

1、检查系统密码文件首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

awk –F: ‘length($2)==0 {print $1}’ /etc/shadow

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps –aef | grep inetd

inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。

输入ps –aef 查看输出信息，尤其注意有没有以/xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，

接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。

3、检查系统守护进程

检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。

一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat –rn，查看本机的路由、网关设置是否正确。

输入 ifconfig –a，查看网卡设置。

5、检查系统日志

命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。

在linux下输入ls –al /var/log

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

更换tracker的原因可能是为了改善下载速度和提高资源的获取效率。Tracker是用于管理和协调BitTorrent网络中的节点通信的服务器，它负责追踪和连接可用的种子和下载者。如果当前使用的tracker出现故障或者连接质量较差，会导致下载速度变慢或者无法正常下载。此时，更换一个可靠的、连接质量较好的tracker可能会带来更好的下载体验。

在选择新的tracker时，可以考虑以下因素：其可靠性、稳定性、速度和可用性。可靠性和稳定性是指tracker的服务器是否经常出现故障或者无法连接的情况；速度是指tracker服务器的响应速度和下载速度；可用性是指tracker的节点数量和可连接性。选择一个具备这些特点的tracker，可以提高下载效率和稳定性。

此外，还可以考虑使用多个tracker，即多tracker策略。通过添加多个tracker，可以增加连接的机会，提高资源的获取率。多tracker策略可以在种子文件中添加多个tracker地址，让下载软件在连接tracker时尝试不同的地址，从而增加下载的稳定性和速度。

总之，更换tracker是为了改善下载体验，提高下载速度和资源获取效率。在选择新的tracker时，要考虑其可靠性、稳定性、速度和可用性，并可以尝试使用多tracker策略来提高下载的稳定性和速度。

有。国家反诈中心APP实际上是通过实时跟踪境外诈骗服务器来进行有效反诈的，等于把国家最强的计算机防御数据库和算力，免费共享给了每一个老百姓，可以在第一时间阻止境外诈骗。国家反诈中心App是公安部组织研发的一款帮助用户预警诈骗信息、快速举报诈骗内容、提升防范意识的反电信诈骗应用软件。

1、上网监控并不需要被监视电脑安装软件的,内网监控才需要安装工作站；

2、对付ARP攻击方式监控软件的解决方法：路由绑定IP和MAC，被监视电脑安装彩影的ANTIARP，所有ARP攻击所谓监控软件就自动成废物不用管他；比如P2P终结、执法官、长角牛、聚生、幽狗、剪刀手等，这些全成废物垃圾了；360ARP火墙或瑞星等的效率太低是可能无用的哦；那些垃圾软件都是采用牺牲网络带宽为代价疯狂发送ARP攻击包的方法，所以网络经常掉线或网络瘫痪就是这个原因；

3、对付WINPCAP免费接口驱动的旁听监控软件方法：检查是否路由出来连接了一个共享式HUB（10M老式HUB），连接的方法是一头连接路由，一头连接交换机，一头连接一个管理电脑，而这个电脑就是采用WINPCAP免费教学接口做的玩具类的旁听监控软件；你只要卸掉WINPCAP驱动或去掉那个HUB，或把你的网线直接连接到出口路由，那么他们就失去了作用了；

4、值得注意的是，类似ANYVIEW(网络警）这样的网络监控软件，做成了网桥或网关模式的话，你是怎么都逃避不了被监视的了，除非你不上网；或拔掉网线；

5、假如你的网络变慢或一些应用无法用了，或P2P速度很低，是否网络莫名其妙掉线；那么你就应该检查是否ARP被攻击，是否被连接了HUB等；正被网络监控中

1、首先公安机关可以通过邮件服务器的IP地址追踪邮件的来源地。

2、其次公安机关可以通过邮件服务器的日志记录等信息，查询相关数据库，了解邮件的发送者和接受者的信息，包括姓名、地址、电话等。

3、最后公安机关可以通过对邮件的技术分析，了解邮件的发送时间、发送者使用的设备、网络环境等信息。公安机关会用以上方法查匿名邮件。

对于一般网民：

网民发帖流程：发帖人→ISP→服务器托管商→服务器；

网警追踪流程：网监→服务器IP→发帖人IP→发帖人ISP→档案。

网络监控软件的选用是十分严格的：

（1）应采用符合现行的国家和行业有关标准的定型产品。

（2）系统中所有设备必须是持有生产许可证的厂家生产的。其设备上应有生产厂家铭牌或商标，检验合格证及使用说明书。

上网监控软件基本功能：

流量监视、上下行分离流量带宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、软网关功能、端口映射和PPPOE拨号支持、通过WEB方式发送文件的监视、通过IM聊天工具发送文件的监视和控制等。

应包含如下基本功能：内网监控、屏幕监视和录象、软硬件资产管理、光驱和USB等硬件禁止、应用软件限制、打印监控、ARP火墙、消息发布、日志报警、远程文件自动备份功能、禁止修改本地连接属性、禁止聊天工具传输文件、通过网页发送文件监视、远程文件资源管理。

-网络监控

后来申请成功的那电脑和你电脑不是在一个内网里吧？

可能它记录到的是你的公网IP，你改自己电脑的内网IP没用

还有，虚拟机申请也失败，你的虚拟机是用的什么方法连网的？网桥方式还是什么？

你是怎么改的公网IP？ADSL宽带断线后重新连接？你查过你两个公网IP是否不同没有？

你自己电脑和另外那电脑很明显不在同一局域网，公网IP肯定不同；而你的虚拟机在你电脑上肯定共用同一个公网IP，因此无论你在虚拟机上还是你电脑上都申请不成功。

很明显那网站记录的是你公网IP地址。当然编程也可以做到同时根据公网IP和cookies两者一起来判定是否注册过。有可能你在改公网IP地址以后未清除cookies以前去申请依然会失败。对这样的程序，改公网IP和清除cookes两者缺一不可。

程序还可以作到记录你电脑的主机名并以此作为判断依据，不过这样做的程序并不多，同名机器太多了。根据你在虚拟机内测试也失败来看，这个可能性可以排除。

最大可能性是同时记录了你公网IP和cookies，你只改一个，它仍然不认，并且更新记录把你新的IP也加进去认为你申请过了（或者反之，只清除cookies没改IP的话，它更新你的cookies里加上你已申请的数据）。