发信人: kjzxuser()
整理人: wwwyyyxxx(1999-10-25 12:41:57), 站内信件
|
怎样知道UNIX系统是否被侵入
可以通过检查系统的某些文件或某些特性来确定系统是否被入侵,大致可以
分为7个方面。
1、查看日志文件
检查日志文件可以帮助用户了解看书的计算机是如何被攻破的,入侵的过程
是怎样的,以及哪些远程主机访问了自己的机器。
常用的日志文件有:(1)utmp——二进制代码文件,用who命令来读取该文件
。
记录了当前联机的所有用户。
(2)wtmp——二进制代码文件,用last命令来读取该文件
该命令的输出包括用户名、登录时间和远程
主机名。通过该输出,可以找到可疑的登录
连接,还可以找出系统上被攻破的用户帐户
。
2、setuid 文件和setgid 文件
有些入侵者会留下 /bin/sh 或 /bin/timer 的 setuid 拷贝,以便以后以
root 身份访问系统。可以使用UNIX的命令find找到 setuid 文件。用下面的命令
可以找到系统上所有的 setuid root 文件;
find / -user root -perm -4000 -print
上例搜索整个系统,包括NFS/AFS安装的文件系统。有的系统find命令支持
-xdev选项,该选项是用来避免搜索NFS/AFS安装的文件系统的。例如:
find / -user root -perm -4000 -print -xdev
另一个搜索setuid文件的方法是通过命令ncheck检查某个磁盘分区。例如:
下面的命令在磁盘分区/dev/hd1中搜索setuid文件和特殊设备文件:
ncheck -s /dev/hdi
3、查看系统的二进制文件是否被更改
有些入侵者修改UNIX系统上的二进制文件作为自己的后门。通过检查系统
上文件的版本与安装盘上的对应文件来查看系统的二进制文件是否被更改。
特洛伊木马程序能产生与合法版本文件相同的校验(checksum)和时间标记
(timestamp)。因此,通过标准的UNIX命令sum来检查程序的时间标记不能完全
确定程序是否被修改过。但是UNIX标准命令 cmp,MD5,Tripwire 和其他口令工
具却能检测出特洛伊木马程序,除非这些工具本身是被感染的。
4、检查所有由 cron 和 at 运行的文件
有些入侵者通过 cron 或 at 命令执行的文件留下一道后门。它们将在一定
的时刻运行用户指定的命令,因此这种技术可以使入侵者轻松地重返系统,即使
用户已经清理过系统。
5、检查系统上不正常的隐藏文件
检查文件 /etc/inetd.conf 是否被增加内容或改变内容。尤其是检查
/etc/inetd.conf 中执行 Shell(例如:/bin/sh 或 /bin/csh)程序的项。检查
/etc/inetd.conf 文件中真正执行的文件是否正确,是否被特洛伊木马替换。
检查以前在 /etc/inetd.conf 注释掉的项,入侵者可能打开以前注释掉的项,
也可能用特洛伊木马替换 inted 程序。
6、检查文件 /etc/passwd 是否被修改
特别要检查非法新增的用户账号和没有口令的账号、UID的改变(尤其是
UID等于 0 的账号)
7、检查系统网络配置中非法的项
特别要检查 /etc/hosts.epuiv , /etc/hosts.lpd 以及所有的 .rhosts
(尤其是 root,uucp,ftp 以及其他系统帐号下的 .rhosts)文件中的‘+’项
和非法的地址项。这些文件不能是所有人都可写的。还有,这些文件不能由入
侵者创建的,即在被攻破前,这些文件已经存在。
8、检查是否有网络监听程序在运行
当root账号被攻破,入侵者很有可能在系统安装了一个网络监听程序,用
于截获用户账号和口令的信息。
检查是否有网络监听程序在运行,首先要查看当前网络接口是否处于混合
模式(Promiscuous mode)。如果有任何网络接口处于混合模式,那么很有可能
系统上安装了监听程序。注意,如果重新启动机器或处于单用户状态,就检查
不到混合模式。
检查网络接口是否处于监听状态的工具很多,特向大家介绍两个著名的工
具和下载地址:
cpm ftp://coast.cs.purdue.edu/pub/tools/unix/cpm.1.2.tar.gz
ifstatus ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ifstatu-s2
.1.tar.gz
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.132.73.16]
|
|