[ 永远的UNIX::UNIX技术资料的宝库 ]

首页 > 系统管理 > 其它 > 正文
 

检测Unix是否被入侵最快捷的方法

作者:西西 来源:不详 (2006-05-24 14:23:14)

鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。

  简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:

  两个运行的inetd进程(应该只有一个);

  .ssh以root的EUID运行而不是以root的UID运行;

  在“/”下的RPC服务的核心文件;

  新的setuid/setgid程序;

  大小迅速增长的文件;

  df和du的结果不相近;

  perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;

  dev下的普通文件和目录条目,尤其是看起来名称冉险5模?br>
  /etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;

  /tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。

  也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。

  另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。

  如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。
(http://www.fanqiang.com)


 
 相关文章
UNIX系统操作入门 2001-04-19 10:12:46
一些奇怪的 unix 指令名字的由来 2001-04-19 10:23:24
什么是UNIX? 2001-04-19 11:07:28
SCOUNIX基础讲座--第一讲:存取权限与文件 2001-05-18 14:55:23
SCOUNIX基础讲座--第二讲shell环境 2001-05-18 14:57:47
SCOUNIX基础讲座--第三讲vi editor 2001-05-18 14:58:20
SCOUNIX基础讲座--第四讲:系统管理 2001-05-18 14:58:55
SCOUNIX基础讲座--第五讲:电子邮件 2001-05-18 14:59:22
SCOUNIX基础讲座--第六讲:後援复制 2001-05-18 15:00:02
SCOUNIX基础讲座--第七讲:用户管理 2001-05-18 15:00:43
SCOUNIX基础讲座--第八讲:监视进程管理 2001-05-18 15:01:43
SCOUNIX基础讲座--第九讲:管理进程 2001-05-18 15:02:10
SCOUNIX基础讲座--第十讲:打印管理 2001-05-18 15:02:40
SCOUNIX基础讲座--第十一讲:TCP/IP 管理 2001-05-18 15:03:07
SCOUNIX基础讲座--第十二讲:使用 TCP/IP 2001-05-18 15:03:35
SCO Unix 制作系统应急盘“Out of inodes”错误的处理 2001-04-21 23:58:44
SCO Unix 故障排除四例 2001-04-21 23:59:31
SCO UNIX5.04中如何删除磁带机? 2001-05-11 09:57:59
SCO UNIX5的几个主要系统进程 2001-05-11 15:00:56
SCO UNIX5 的动态核心表 2001-05-11 15:01:07
 

★  感谢所有的作者为我们学习技术知识提供了一条捷径  ★
www.fanqiang.com