监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1977|回复: 2
打印 上一主题 下一主题

鉴别Unix系统是否被入侵技巧

  [复制链接]
跳转到指定楼层
1
发表于 2010-4-26 21:34:18 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
我们在使用Unix系统的时候,都会发现很多的问题,你是否知道,可能是因为你的电脑在一个不安全的环境中所导致的呢!今天,我们就来学习下如何来鉴别你的电脑是否被入侵。

鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。

例如:两个运行的inetd进程(应该只有一个);.ssh以root的EUID运行而不是以root的UID运行;

在“/”下的RPC服务的核心文件;

新的setuid/setgid程序;

大小迅速增长的文件;

df和du的结果不相近;

perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;

dev下的普通文件和目录条目,尤其是看起来名称比较正常的;

/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的Unix系统十有八九存在问题。

也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。

另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。

如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。这样,我们就来看看我们自己的Unix系统吧!是否已经出现了这些问题。
我分享,我成长!系统集成 XTJC.COM

0

主题

12

帖子

32

积分

实习生

2
发表于 2010-4-27 11:50:26 | 只看该作者
华为金牌代理
真专业~~~
微软软件 oracle 网络杀毒 备份软件 13718401895
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-23 23:55 , Processed in 0.070823 second(s), 27 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表