檢測Unix是否被入侵最快捷的方法

2020-10-28 18:56:21

字體：大中小

供稿：網(wǎng)友

鑒別Unix系統(tǒng)是否被入侵，需要較高的技巧，當(dāng)然也有一些非常簡單的方法。簡單的方法就是檢查系統(tǒng)日志、進程表和文件系統(tǒng)，查看是否存在一些“奇怪的”消息、進程或者文件。例如：兩個運行的inetd進程（應(yīng)該只有一個）；.ssh以root的EUID運行而不是以root的UID運行；在“/”下的RPC服務(wù)的核心文件；新的setuid/setgid程序；大小迅速增長的文件；df和du的結(jié)果不相近；perfmeter/top/BMC Patrol/SNMP（以上都是一些監(jiān)控的程序）的監(jiān)視器與vmstat/ps的結(jié)果不符，遠高于平時的網(wǎng)絡(luò)流量；dev下的普通文件和目錄條目，尤其是看起來名稱比較正常的；/etc/passwd和/etc/shadow，下是否有不正常或者沒有密碼的賬號存在；/tmp、/var/tmp和其他有可寫權(quán)限的目錄下的奇怪文件名，這里所指的奇怪是指名字類似于“…”的（3個點）。如果您發(fā)現(xiàn)這樣的名稱，但實際上卻是個目錄的話，那么你的系統(tǒng)十有八九存在問題。也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合適的新條目存在。另外，還要密切注意那些隱蔽的信任關(guān)系。例如，NFS上主機之間是怎么掛載的？哪臺主機有關(guān)于別的主機的.hosts、.shosts和hosts.equiv條目？哪臺主機有.netrc文件？該主機與誰共享網(wǎng)段？您應(yīng)該繼續(xù)對它做一番調(diào)查。通常攻擊者不止破壞一臺主機，他們從一臺主機跳到另一臺，隱藏好蹤跡，并開放盡可能多的后門。如果您有任何可疑的發(fā)現(xiàn)，那么請聯(lián)系您的本地計算機緊急事件響應(yīng)小組，來幫助檢查網(wǎng)絡(luò)的其他主機，并恢復(fù)受損站點。

上一篇：Linux/Unix環(huán)境下的Make和Makefile詳解

下一篇：unix精彩問答