![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 安全技術 > 系統 > 正文 |
 |
| 入侵檢測方法 |
| 本文出自:http://www.rdsk.net/ 作者: (2001-06-28 08:10:00) |
本站內容多為站長原作,部分整理自網上,歡迎參考,轉載請注明出處。
入侵檢測方法(1)
因為UNIX系統經常承當著關鍵任務,所以它經常是入侵者攻擊的首選目標。是檢測入侵、
保護系統安全是管理員的最為重要的任務之一。那,在沒有其它工具幫助的情況下,如何
去判斷系統當前的安全性?如何去發現入侵呢?下面給大家介紹一些常用到的檢查方法:
? 檢查系統進程 #ps -aef or #ps aux
? 檢查網絡連接和監聽端口 #netstat -an
? 檢查系統日志,日志文件的屬性和前連續性
? 大量的端口掃描、帳號掃描,往往預示攻擊的出現
?發現named或者syslogd等進程莫名其妙地掉了下來
? 檢查系統中的core文件。#find / -name core -exec ls -l {} \; 根目錄下有syslogd,
或者ftpd等產生的不明core文件往往也暗示了攻擊或者入侵的出現
? 檢查系統中的suid程序 #find / -perm -004000 -exec ls -l {} \;
? 檢查系統中的sgid程序 #find / -perm -002000 -exec ls -l {} \;
? 檢查所有的.rhosts文件 #find / -name .rhosts -exec ls -l {} \;
? 檢查所有的.forward文件
?檢查/etc/hosts.equiv文件的內容
? 檢查系統中的帳號 #more /etc/passwd; #awk -F: '$3==0 {print $1}' /etc/passwd
? 檢查系統帳號的口令設置
2 空口令帳號 #awk -F: 'length($2)==0 {print $1}' /etc/shadow
2 對比初始安裝系統,確認系統缺省帳號的口令正確設置
2 檢查脆弱口令 #./john -single /etc/shadow
2 檢查是否有本來口令域為NP的系統帳號的口令域變為13個BASE64可顯示字符
? 檢查帳號口令shell設置的正確性。空表示sh。管理員應該對自己系統中
擁有正常shell的帳號非常清楚。
? 使用初始簽名文件做比較,檢查關鍵執行程序的完整性,如/bin/login, /bin/who,
/bin/netstat, etc
? 某主機的一個服務端口上出現擁塞現象,此時應該檢查綁定在該端口上的服務類型。淹沒式
和denial of service 式的攻擊通常是欺騙攻擊的先兆(或是一部分)。
? 日志中有人企圖利用老的sendmail就是比較明顯的攻擊的信息,即有人在端口25上發出
了兩三個命令,這些命令可能是企圖欺騙服務器將/etc/passwd文件的拷貝以郵件的形式發
送給入侵者,另外show mount命令有可能是有人在收集計算機的信息。等等。
# 經驗是最不可替代的。
的確,經驗對系統管理員來說太重要了,機器前面操作的經驗是多少書本知識也無法代替的。
如果想在網絡安全方面成為一個高手,那準備好自己的精力吧。
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
偵測系統入侵事項 (2001-11-02 09:00:00)
入侵檢測工具Watcher (2001-09-12 08:00:00)
入侵分析 (2001-09-09 13:05:00)
系統遭受入侵使用TCT進行緊急恢復並分析 (2001-09-09 07:05:00)
UNIX入侵過程(3) (2001-07-25 12:00:00)
UNIX入侵過程(2) (2001-07-25 10:00:00)
UNIX入侵過程(1) (2001-07-25 09:00:00)
Unix的入侵追蹤 (2001-07-21 08:05:00)
入侵檢測系統原理和實踐 (2001-07-06 17:38:45)
入侵檢測方法 (2001-06-28 08:10:00)
|
===更多相關=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |