发信人: kjzxuser()
整理人: wwwyyyxxx(1999-10-08 22:30:16), 站内信件
|
UNIX系统被攻破后应采取的措施
当发现系统被攻击后,系统管理员应当采取下面一些措施:
1、查找入侵者是从哪来的
可以使用下面一些命令或者文件来找到入侵者的来源:
who
w
last
lastcomm
netstat
文件/var/adm/messanges
syslog
wrapper logs
finger
Shell的历史文件,例如:.history,rchist以及一些类似文件
提示:入侵者在这些日记中不留痕迹的方法很多。应该将日志文件转存到
其它主机上,这样,入侵者就不会轻易发现并修改这些日记文件。
2、对用户账号下的文件进行检查
检查所有用户的.rhosts和forward文件
find / -name .rhosts -ls -o -name .forward -ls
如果可以确定系统是在某个时间段(如某天内)被攻破的,可以使用
下面的命令:
find / -ctime -2 -ctiime +1 -ls
该命令将找出系统上所有在最近一两天被改动 (包括新建文件和被修改
的文件)的文件。
3、使所有被攻破的机器从网上脱离
要恢复系统的控制,首先使所有被攻破的机器从网上脱离,这样可以防止
在恢复系统时再次被入侵者攻击。为了能对系统有完全的控制权限,应使系统
进入到单用户状态。但是,通过重新启动或进入单用户状态,可能会丢掉一些
有用的信息,因为在发现系统被攻破时即有运行的进程都被杀掉了。
使系统从网上脱离包括物理脱离和逻辑脱离。对于前者,需要在硬件上的
操作,例如拔掉网络线或者关闭路由器等。对于后者,有很多方法,最简单也
是最不可靠的是:建立文件/etc/nologin——如果系统上存在该文件,那么
系统就不允许用户从其他的机器登录到本系统上,但入侵者可能通过其他的
方法绕过该文件的检查;更可靠的方法使系统是进入到单用户状态,相应的
命令为 init S(有的系统使用 init 1 进入到单用户状态,具体的情况请参
照具体的系统)。在单用户状态下,可以防止用户、入侵者和入侵进程访问
或改变当前计算机的状态,这样用户就可进行安全的恢复工作。
4、备份被攻破的系统
在分析被入侵之前,最好对系统做一个备份。之相当于对系统被攻破时的
情况做一个 “快照”,在以后分析时,可能要用到该备份。如果有与被攻破
系统的磁盘同样大小和规格的磁盘,可以用命令 dd 对系统进行一个精确的备份
。
5、分析入侵方式
可以从以下几方面来分析攻击者的入侵方式:
查找系统软件和系统配置文件的变化。
查找数据文件的变化
查找入侵者留下的数据文件和相关工具
检查日志文件
查找网络监听的迹象
检查局域网上的其他的计算机
6、重新安装一个未被入侵的操作系统
如果用户的系统是根被破坏(root compromised),该系统上的所有内容都有
可能被修改,包括系统核心、二进制文件、数据文件、运行的进程以及内存。
从总体上说,确保系统上没有“后门漏洞”、没有被入侵者修改的文件的唯一
方法是从安装盘重新安装操作系统并在连接到网络之前安装所有的补丁程序。
7、安装所有补丁程序
建议用户有每台机器上都安装完全的安全补丁程序,这是防御入侵的一个必
要步骤。用户应该定期地向供应商索取最新的补丁程序。
8、更改口令
在所有安全漏洞和配置被纠正后,建议用户更改系统上所有账号的口令,确保
系统上每个账号的口令都不容易猜到。用户可以使用一些现有的口令安全工具,
来
检查系统上的口令是否满足安全需求。
--
※ 修改:.kjzxuser 于 Oct 8 21:56:33 修改本文.[FROM: 61.132.73.73]
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.132.73.73]
|
|