檢測Unix是否被入侵最快捷的方法(轉)

檢測Unix是否被入侵最快捷的方法(轉)[@more@]鑑別Unix系統是否被入侵，需要較高的技巧，當然也有一些非常簡單的方法。

　　簡單的方法就是檢查系統日誌、程式表和檔案系統，檢視是否存在一些“奇怪的”訊息、程式或者檔案。例如：

　　兩個執行的inetd程式（應該只有一個）；

　　.ssh以root的EUID執行而不是以root的UID執行；

　　在“/”下的RPC服務的核心檔案；

　　新的setuid/setgid程式；

　　大小迅速增長的檔案；

　　df和du的結果不相近；

　　perfmeter/top/BMC Patrol/SNMP（以上都是一些監控的程式）的監視器與vmstat/ps的結果不符，遠高於平時的網路流量；

　　dev下的普通檔案和目錄條目，尤其是看起來名稱冉險?５模?br>
　　/etc/passwd和/etc/shadow，下是否有不正常或者沒有密碼的賬號存在；

　　/tmp、/var/tmp和其他有可寫許可權的目錄下的奇怪檔名，這裡所指的奇怪是指名字類似於“…”的（3個點）。如果您發現這樣的名稱，但實際上卻是個目錄的話，那麼你的系統十有八九存在問題。

　　也要注意檢視/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合適的新條目存在。

　　另外，還要密切注意那些隱蔽的信任關係。例如，NFS上主機之間是怎麼掛載的？哪臺主機有關於別的主機的.hosts、.shosts和hosts.equiv條目？哪臺主機有.netrc檔案？該主機與誰共享網段？您應該繼續對它做一番調查。通常攻擊者不止破壞一臺主機，他們從一臺主機跳到另一臺，隱藏好蹤跡，並開放盡可能多的後門。

　　如果您有任何可疑的發現，那麼請聯絡您的本地計算機緊急事件響應小組，來幫助檢查網路的其他主機，並恢復受損站點。