鑒別Unix系統(tǒng)是否被入侵，需要較高的技巧，當(dāng)然也有一些非常簡單的方法。 簡單的方法就是檢查系統(tǒng)日志、進(jìn)程表和文件系統(tǒng)，查看是否存在一些“奇怪的”消息、進(jìn)程或者文件。例如： 兩個運(yùn)行的inetd進(jìn)程（應(yīng)該只有一個）； .ssh以root的EUID運(yùn)行而不是以root的UID運(yùn)行； 在“/”下的RPC服務(wù)的核心文件； 新的setuid/setgid程序； 大小迅速增長的文件； df和du的結(jié)果不相近； perfmeter/top/BMC Patrol/SNMP（以上都是一些監(jiān)控的程序）的監(jiān)視器與vmstat/ps的結(jié)果不符，遠(yuǎn)高于平時的網(wǎng)絡(luò)流量； dev下的普通文件和目錄條目，尤其是看起來名稱比較正常的； /etc/passwd和/etc/shadow，下是否有不正常或者沒有密碼的賬號存在； /tmp、/var/tmp和其他有可寫權(quán)限的目錄下的奇怪文件名，這里所指的奇怪是指名字類似于“…”的（3個點(diǎn)）。如果您發(fā)現(xiàn)這樣的名稱，但實(shí)際上卻是個目錄的話，那么你的系統(tǒng)十有八九存在問題。 也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合適的新條目存在。 另外，還要密切注意那些隱蔽的信任關(guān)系。例如，NFS上主機(jī)之間是怎么掛載的？哪臺主機(jī)有關(guān)于別的主機(jī)的.hosts、.shosts和hosts.equiv條目？哪臺主機(jī)有.netrc文件？該主機(jī)與誰共享網(wǎng)段？您應(yīng)該繼續(xù)對它做一番調(diào)查。通常攻擊者不止破壞一臺主機(jī)，他們從一臺主機(jī)跳到另一臺，隱藏好蹤跡，并開放盡可能多的后門。 如果您有任何可疑的發(fā)現(xiàn)，那么請聯(lián)系您的本地計(jì)算機(jī)緊急事件響應(yīng)小組，來幫助檢查網(wǎng)絡(luò)的其他主機(jī)，并恢復(fù)受損站點(diǎn)。

最新評論