检测Unix是否被入侵最快捷的方法
鉴别unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:
两个运行的inetd进程(应该只有一个);
.ssh以root的euid运行而不是以root的uid运行;
在“/”下的rpc服务的核心文件;
新的setuid/setgid程序;
大小迅速增长的文件;
df和du的结果不相近;
perfmeter/top/bmc patrol/snmp(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;
dev下的普通文件和目录条目,尤其是看起来名称比较正常的;
/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;
/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。
另外,还要密切注意那些隐蔽的信任关系。例如,nfs上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。
如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。
下一篇:常见木马和未授权控制软件的关闭
↓相关文章:
- · 常见木马和未授权控制软件的关闭
- · 在网吧如何防止病毒和快速杀毒
- · IE最新安全漏洞补救几大措施
- · 网际网络安全技术分析和对策
- · 网络加、解密的技术应用
- · 实战分析网络邮箱密码保护
- · 局域网共享资源安全防护大全
- · 自我防护Web站点和恶意链接的方法
- · 解开被锁注册表的四种方法
- · 脚本攻击防范策略完全篇
- · 电骡eMule客户端使用攻略
- · 用CuteFTP发布自己的网上之家
- · 了解多种多样的网上下载地址
- · 集百家之长的P2P软件Shareaza
- · 下载软件的防毒措施
- · 两种方式登录FTP
- · 精彩你的邮件,有声“伊妹儿”全接触
- · IncrediMail让你的E-mail也作秀
- · 简单有效的垃圾邮件防御方法
- · 邮箱G时代 超大邮箱逐个看
- · 反垃圾邮件好帮手——金山邮镖 2004
- · Outlook的护符:OutSource-XP
- · 一个黑客的烦恼
- · 不小心当了一回“黑客”
- · 黑客初级技术概述
- · 菜鸟怎样杀木马
- · 2000用户中震荡波时采取的措施
- · 六、ICQ过滤和拒收垃圾消息
- · 四、隐形与反隐形
- · 三、密码的破解与保护
- · 二、帐号等私人信息的防盗措施
- · 一、如何在QQ/ICQ中隐藏IP地址
- · C语言程序设计基础之枚举与位运算
- · PS图层蒙版巧做水晶魔球
- · 图解红旗Linux 4.0桌面系统的安装
- · 瑞星个人防火墙安装与使用(多图)
- · 一周QA问答之三
- · 常见系统文件的丢失与损坏
- · 用becky!2.11.02+BB HOT3.5.0.8收取所有邮箱
- · 狂拽~用别人的服务器做硬盘!
- · 正在使用的文件如何删除?
- · My MPC常见问题解答
- · NTFS和FAT32互相转换的几种方法
- · 书信、贺卡合二为一
- · WebPage Spy 挖掘网络宝藏
- · 征服系统启动故障,你行吗?
- · 每周软件问答(1)
- · [网络]NetFairy 网络精灵 问答集锦
- · 如何搜索英文经典老歌
- · 值得收藏!IE经典故障大全
- · 粤语歌曲,这样搜!
- · 磁盘碎片分析报告巧利用
- · 造字程序造的字也可共享
- · [网络]Firefox问答集锦
- · 每周软件问答(2)
- · 无图像、无声音、图像声音不同步问题的解决办法
- · Vobsub的常见问题
- · 系统漏洞网上查
- · 严防网络银行信息被窃(2)
- · 严防网络银行信息被窃(1)