幽灵

幽灵的博客

他的个人主页  他的博客

鉴别Unix系统是否被入侵

幽灵  2009年08月02日 星期日 07:33 | 1391次浏览 | 2条评论

鉴别Unix系统是否被入侵

鉴别 Unix 系统是否被 入侵 ,需要较高的技巧,当然也有一些非常简单的方法。

简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:

两个运行的inetd进程(应该只有一个);

.ssh以root的EUID运行而不是以root的UID运行;

在“/”下的RPC服务的核心文件;

新的setuid/setgid程序;

大小迅速增长的文件;

df和du的结果不相近;

perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;

dev下的普通文件和目录条目,尤其是看起来名称比较正常的;

/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。

也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。

另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和 hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机 跳到另一台,隐藏好踪迹,并开放尽可能多的后门。

评论

我的评论:

发表评论

请 登录 后发表评论。还没有在Zeuux哲思注册吗?现在 注册 !
胡锦涛

回复 胡锦涛  2010年01月28日 星期四 18:28

很好,不过df du 结果相差较大的原因比较多

0条回复

孔建军

回复 孔建军  2009年08月02日 星期日 08:22

谢谢分享!

0条回复

暂时没有评论

Zeuux © 2024

京ICP备05028076号