歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

檢測Unix是否被入侵最快捷的方法


鑒別Unix系統是否被入侵,需要較高的技巧,當然也有一些非常簡單的方法。
  簡單的方法就是檢查系統日志、進程表和文件系統,查看是否存在一些“奇怪的”消息、進程或者文件。例如:
  兩個運行的inetd進程(應該只有一個);
  .ssh以root的EUID運行而不是以root的UID運行;
  在“/”下的RPC服務的核心文件;
  新的setuid/setgid程序;
  大小迅速增長的文件;
  df和du的結果不相近;
  perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程序)的監視器與vmstat/ps的結果不符,遠高於平時的網絡流量;
  dev下的普通文件和目錄條目,尤其是看起來名稱冉險 5模?br>
  /etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
  /tmp、/var/tmp和其他有可寫權限的目錄下的奇怪文件名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的系統十有八九存在問題。
  也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
  如果您有任何可疑的發現,那麼請聯系您的本地計算機緊急事件響應小組,來幫助檢查網絡的其他主機,並恢復受損站點。
Copyright © Linux教程網 All Rights Reserved