檢測(cè)Unix是否被入侵最快捷的方法

2020-10-28 18:56:21

字體：大中小

供稿：網(wǎng)友

鑒別Unix系統(tǒng)是否被入侵，需要較高的技巧，當(dāng)然也有一些非常簡(jiǎn)單的方法。簡(jiǎn)單的方法就是檢查系統(tǒng)日志、進(jìn)程表和文件系統(tǒng)，查看是否存在一些“奇怪的”消息、進(jìn)程或者文件。例如：兩個(gè)運(yùn)行的inetd進(jìn)程（應(yīng)該只有一個(gè)）；.ssh以root的EUID運(yùn)行而不是以root的UID運(yùn)行；在“/”下的RPC服務(wù)的核心文件；新的setuid/setgid程序；大小迅速增長(zhǎng)的文件；df和du的結(jié)果不相近；perfmeter/top/BMC Patrol/SNMP（以上都是一些監(jiān)控的程序）的監(jiān)視器與vmstat/ps的結(jié)果不符，遠(yuǎn)高于平時(shí)的網(wǎng)絡(luò)流量；dev下的普通文件和目錄條目，尤其是看起來名稱比較正常的；/etc/passwd和/etc/shadow，下是否有不正常或者沒有密碼的賬號(hào)存在；/tmp、/var/tmp和其他有可寫權(quán)限的目錄下的奇怪文件名，這里所指的奇怪是指名字類似于“…”的（3個(gè)點(diǎn)）。如果您發(fā)現(xiàn)這樣的名稱，但實(shí)際上卻是個(gè)目錄的話，那么你的系統(tǒng)十有八九存在問題。也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合適的新條目存在。另外，還要密切注意那些隱蔽的信任關(guān)系。例如，NFS上主機(jī)之間是怎么掛載的？哪臺(tái)主機(jī)有關(guān)于別的主機(jī)的.hosts、.shosts和hosts.equiv條目？哪臺(tái)主機(jī)有.netrc文件？該主機(jī)與誰共享網(wǎng)段？您應(yīng)該繼續(xù)對(duì)它做一番調(diào)查。通常攻擊者不止破壞一臺(tái)主機(jī)，他們從一臺(tái)主機(jī)跳到另一臺(tái)，隱藏好蹤跡，并開放盡可能多的后門。如果您有任何可疑的發(fā)現(xiàn)，那么請(qǐng)聯(lián)系您的本地計(jì)算機(jī)緊急事件響應(yīng)小組，來幫助檢查網(wǎng)絡(luò)的其他主機(jī)，并恢復(fù)受損站點(diǎn)。

上一篇：Linux/Unix環(huán)境下的Make和Makefile詳解

下一篇：unix精彩問答