系统集成论坛

标题: 鉴别Unix系统是否被入侵技巧 [打印本页]

作者: 思考的牛 时间: 2010-4-26 21:34
标题: 鉴别Unix系统是否被入侵技巧
我们在使用Unix系统的时候，都会发现很多的问题，你是否知道，可能是因为你的电脑在一个不安全的环境中所导致的呢！今天，我们就来学习下如何来鉴别你的电脑是否被入侵。

鉴别Unix系统是否被入侵，需要较高的技巧，当然也有一些非常简单的方法。简单的方法就是检查系统日志、进程表和文件系统，查看是否存在一些“奇怪的”消息、进程或者文件。

例如：两个运行的inetd进程（应该只有一个）；.ssh以root的EUID运行而不是以root的UID运行；

在“/”下的RPC服务的核心文件；

新的setuid/setgid程序；

大小迅速增长的文件；

df和du的结果不相近；

perfmeter/top/BMC Patrol/SNMP（以上都是一些监控的程序）的监视器与vmstat/ps的结果不符，远高于平时的网络流量；

dev下的普通文件和目录条目，尤其是看起来名称比较正常的；

/etc/passwd和/etc/shadow，下是否有不正常或者没有密码的账号存在；

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名，这里所指的奇怪是指名字类似于“…”的（3个点）。如果您发现这样的名称，但实际上却是个目录的话，那么你的Unix系统十有八九存在问题。

也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合适的新条目存在。

另外，还要密切注意那些隐蔽的信任关系。例如，NFS上主机之间是怎么挂载的？哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目？哪台主机有.netrc文件？该主机与谁共享网段？您应该继续对它做一番调查。通常攻击者不止破坏一台主机，他们从一台主机跳到另一台，隐藏好踪迹，并开放尽可能多的后门。

如果您有任何可疑的发现，那么请联系您的本地计算机紧急事件响应小组，来帮助检查网络的其他主机，并恢复受损站点。这样，我们就来看看我们自己的Unix系统吧！是否已经出现了这些问题。

作者: tcwlgml 时间: 2010-4-27 11:50
真专业~~~

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)