歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> Unix資訊

Unix操作系統入侵檢測方法

常承當著關鍵任務的Unix操作系統,經常是很多的入侵者攻擊的首選目標。於是檢測入侵、保護系統安全是管理員的最為重要的任務之一。在沒有其它工具幫助的情況下,我們來學習如何檢查入侵吧。

檢查Unix操作系統密碼文件

首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。

輸入命令 awk –F:’$3==0 {print $1}’ /etc/passwd來檢查一下passwd文件中有哪些特權用戶,系統中uid為0的用戶都會被顯示出來。順便再檢查一下系統裡有沒有空口令帳戶:awk –F: ‘length($2)==0 {print $1}’ /etc/shadow


查看一下進程,看看有沒有奇怪的進程

重點查看進程:ps –aef | grep inetd

inetd是Unix操作系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s後面的內容。

在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了你的系統,並且以root權限起了一個簡單的後門。

輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。

一旦發現異樣的進程,經檢查為入侵者留下的後門程序,立即運行kill –9 pid 開殺死該進程,然後再運行ps –aef查看該進程是否被殺死;一旦此類進程出現殺死以後又重新啟動的現象,則證明Unix操作系統被人放置了自動啟動程序的腳本。

這個時候要進行仔細查找:find / -name 程序名 –print,假設系統真的被入侵者放置了後門,根據找到的程序所在的目錄,Unix操作系統下隱藏進程有的時候通過替換ps文件來做,檢測這種方法涉及到檢查文件完整性,一會我們再討論這種方法。

關於Unix操作系統檢查是否被入侵的一些知識就介紹到這裡,希望大家看完之後更加的熟練運用。

Copyright © Linux教程網 All Rights Reserved