我們在使用Unix系統的時候,都會發現很多的問題,你是否知道,可能是因為你的電腦在一個不安全的環境中所導致的呢!今天,我們就來學習下如何來鑒別你的電腦是否被入侵。
鑒別Unix系統是否被入侵,需要較高的技巧,當然也有一些非常簡單的方法。簡單的方法就是檢查系統日誌、進程表和文件系統,查看是否存在一些“奇怪的”消息、進程或者文件。
例如:兩個運行的inetd進程(應該只有一個);.ssh以root的EUID運行而不是以root的UID運行;
在“/”下的RPC服務的核心文件;
新的setuid/setgid程序;
大小迅速增長的文件;
df和du的結果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程序)的監視器與vmstat/ps的結果不符,遠高於平時的網路流量;
dev下的普通文件和目錄條目,尤其是看起來名稱比較正常的;
/etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
/tmp、/var/tmp和其他有可寫許可權的目錄下的奇怪文件名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的Unix系統十有八九存在問題。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
另外,還要密切注意那些隱蔽的信任關係。例如,NFS上主機之間是怎麼掛載的?哪台主機有關於別的主機的.hosts、.shosts和hosts.equiv條目?哪台主機有.netrc文件?該主機與誰共享網段?您應該繼續對它做一番調查。通常攻擊者不止破壞一台主機,他們從一台主機跳到另一台,隱藏好蹤跡,並開放儘可能多的後門。
如果您有任何可疑的發現,那麼請聯繫您的本地計算機緊急事件響應小組,來幫助檢查網路的其他主機,並恢復受損站點。這樣,我們就來看看我們自己的Unix系統吧!是否已經出現了這些問題。
[火星人 ] 鑒別 Unix 系統是否被入侵技巧已經有358次圍觀
