科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道检测Unix是否被入侵最快捷的方法

检测Unix是否被入侵最快捷的方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。  简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件.

作者:中国IT实验室 2007年8月27日

关键字: 进程表 网络流量 unix 检测 系统入侵

  • 评论
  • 分享微博
  • 分享邮件

  鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。  

  简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:  

  两个运行的inetd进程(应该只有一个);  

  .ssh以root的EUID运行而不是以root的UID运行;  

  在“/”下的RPC服务的核心文件;  

  新的setuid/setgid程序;  

  大小迅速增长的文件;  

  df和du的结果不相近;  

  perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;  

  dev下的普通文件和目录条目,尤其是看起来名称比较正常的;  

  /etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;  

  /tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。  

  也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。  

  另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。  

  如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。  

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章