檢測Unix是否被入侵最快捷的方法(轉)
檢測Unix是否被入侵最快捷的方法(轉)[@more@]鑑別Unix系統是否被入侵,需要較高的技巧,當然也有一些非常簡單的方法。
簡單的方法就是檢查系統日誌、程式表和檔案系統,檢視是否存在一些“奇怪的”訊息、程式或者檔案。例如:
兩個執行的inetd程式(應該只有一個);
.ssh以root的EUID執行而不是以root的UID執行;
在“/”下的RPC服務的核心檔案;
新的setuid/setgid程式;
大小迅速增長的檔案;
df和du的結果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程式)的監視器與vmstat/ps的結果不符,遠高於平時的網路流量;
dev下的普通檔案和目錄條目,尤其是看起來名稱冉險?5模?br>
/etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
/tmp、/var/tmp和其他有可寫許可權的目錄下的奇怪檔名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的系統十有八九存在問題。
也要注意檢視/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
另外,還要密切注意那些隱蔽的信任關係。例如,NFS上主機之間是怎麼掛載的?哪臺主機有關於別的主機的.hosts、.shosts和hosts.equiv條目?哪臺主機有.netrc檔案?該主機與誰共享網段?您應該繼續對它做一番調查。通常攻擊者不止破壞一臺主機,他們從一臺主機跳到另一臺,隱藏好蹤跡,並開放盡可能多的後門。
如果您有任何可疑的發現,那麼請聯絡您的本地計算機緊急事件響應小組,來幫助檢查網路的其他主機,並恢復受損站點。
簡單的方法就是檢查系統日誌、程式表和檔案系統,檢視是否存在一些“奇怪的”訊息、程式或者檔案。例如:
兩個執行的inetd程式(應該只有一個);
.ssh以root的EUID執行而不是以root的UID執行;
在“/”下的RPC服務的核心檔案;
新的setuid/setgid程式;
大小迅速增長的檔案;
df和du的結果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程式)的監視器與vmstat/ps的結果不符,遠高於平時的網路流量;
dev下的普通檔案和目錄條目,尤其是看起來名稱冉險?5模?br>
/etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
/tmp、/var/tmp和其他有可寫許可權的目錄下的奇怪檔名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的系統十有八九存在問題。
也要注意檢視/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
另外,還要密切注意那些隱蔽的信任關係。例如,NFS上主機之間是怎麼掛載的?哪臺主機有關於別的主機的.hosts、.shosts和hosts.equiv條目?哪臺主機有.netrc檔案?該主機與誰共享網段?您應該繼續對它做一番調查。通常攻擊者不止破壞一臺主機,他們從一臺主機跳到另一臺,隱藏好蹤跡,並開放盡可能多的後門。
如果您有任何可疑的發現,那麼請聯絡您的本地計算機緊急事件響應小組,來幫助檢查網路的其他主機,並恢復受損站點。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-947627/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 怎麼檢測伺服器是否被入侵伺服器
- linux檢測系統是否被入侵(上)Linux
- *NIX入侵檢測方法(轉)
- Linux中如何檢測系統是否被入侵Linux
- 檢測php網站是否已經被攻破的方法PHP網站
- 檢測代理IP是否被佔用的三種方法
- 怎麼檢視網站是否被谷歌收錄,檢視網站是否被谷歌收錄的快速檢測方法網站谷歌
- Linux入侵檢測(轉)Linux
- Java檢測埠是否被佔用Java
- Linux後門入侵檢測工具,附bash漏洞最終解決方法Linux
- 微信域名檢測原理 批次檢測域名是否被微信攔截
- 入侵檢測術語全接觸(轉)
- 入侵檢測工具Watcher(含原始碼) (轉)原始碼
- 開源的IDS(入侵檢測系統)-- Snort (轉)
- Freebsd構建小型的入侵檢測系統(轉)
- 微信域名攔截檢測介面 檢測域名是否被微信停止訪問
- Android 應用檢測裝置是否被rootAndroid
- 轉:基礎知識:檢測執行緒是否結束的方法收藏執行緒
- Java Web中的入侵檢測及簡單實現(轉)JavaWeb
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- 6.20入侵檢測排查
- 如何判斷 Linux 伺服器是否被入侵?Linux伺服器
- 微信域名攔截檢測 查詢微信中域名是否被攔截的最新方法
- 系統被入侵後的恢復(轉)
- Linux入侵檢測基礎Linux
- 無線入侵檢測系統
- 入侵檢測技術基礎
- 人員入侵檢測系統
- 實驗室環境下測試千兆入侵檢測系統(轉)
- 入侵檢測系統分析及其在Linux下的實現(轉)Linux
- 主流網路產品 入侵檢測產品的綜合比較(轉)
- Linux核心入侵檢測安全增強實現(下)(轉)Linux
- Linux核心入侵檢測安全增強實現(上)(轉)Linux
- 用命令檢查電腦是否被安裝木馬(轉)
- 怎麼檢視網站是否被谷歌收錄,你會檢視網站被谷歌收錄的方法嗎網站谷歌
- JavaScript檢測window.open()彈出視窗是否被攔截JavaScript
- js檢測window.open()彈出視窗是否被關閉JS