当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 检测 Unix是否被入侵最快捷的方法

安全防护
如何清除隐藏的病毒文件
如何从进程中判断出病毒和木马
恶意邮件蠕虫假冒安全更新引诱用户上当
驱除毒源双击无法打开驱动器的杀毒方法
SHOPEX最新漏洞利用及解决方案
关于arp欺骗原理及防范
如何处理杀不掉的病毒
杜绝ASP网站漏洞入侵的八大法则
认识木马及木马防范
短路引起的双通道内存错误
电脑故障速排方法-内存篇
在IIS中打开“写入”权限,将轻易被黑客入侵
让硬盘摆脱五大怪异的骚扰
如何解决文件夹不能删除的情况
CPU占用100%原因及解决方法
熊猫烧香、威金的解决办法
病毒预警:使用MSN不慎可能被“幽灵”控制
ASP网站漏洞解析及黑客入侵防范方法
处理恶意软件的六个步骤
Vista首爆重大漏洞 网站被黑客植木马

安全防护 中的 检测 Unix是否被入侵最快捷的方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 33 ::
收藏到网摘: n/a

鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。 
简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如: 
两个运行的inetd进程(应该只有一个); 

.ssh以root的EUID运行而不是以root的UID运行; 

在“/”下的RPC服务的核心文件; 

新的setuid/setgid程序; 

大小迅速增长的文件; 

df和du的结果不相近; 


perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量; 

dev下的普通文件和目录条目,尤其是看起来名称比较正常的; 

/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在; 

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。 

也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。 

另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。 

如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。