数学建模社区-数学中国
标题:
如何知道系统被入侵(Linux/Unix)
[打印本页]
作者:
韩冰
时间:
2004-10-5 09:00
标题:
如何知道系统被入侵(Linux/Unix)
检查你的系统查找如下特征,一旦发现表明你的系统被此文中提到的一些人入侵了。
+ c1 Y/ _, k: M2 m4 E9 K
5 u0 E- x' v8 d/ J9 e" t8 P
1.目录 /dev/../sun2 存在
* O3 O9 @) [; l, s0 [- H
& ?7 [6 l1 F( P) b2 b$ F
2.目录 /var/spool/.recent存在
) h& H$ I( i* g! J2 o) h
) @7 I$ p% _9 `/ ~
3.Solaris installation has /bin/pico
: g1 G9 z" U! J8 f
4 Z5 X8 x! x* N) u7 G5 e7 p
4.Solaris 安装了 /bin/pico
: v2 r* M* v q* v8 v4 c
* j7 E7 n6 k& @9 y" R. h$ }
5.你可以以root登录,密码是ABcDeFgHiJ
s8 |8 t" b* \6 s8 u
- a/ Y, @1 p$ @3 f- g
6.一些日志或用户文件包含're'或'r'帐号
# ~8 ]3 R. s4 f; G: w
% i- B2 a2 L- J c
如果你的系统运行的是Solaris操作系统,你可以用下面命令MD5签名同Sun的在线MD5指纹数据库进行比较http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
: q5 i; Y9 W" A' n# o6 s( D" n. B t
8 ]2 u: W. t. W6 X6 M3 ?& p
**********************************
( R: p, m1 A' @6 Z& U2 h ~0 z, Y
- g! e) v& b$ S# v
/bin/ls
7 \0 y- x1 o3 L7 C' T9 \ }
( x% V9 d) o3 Y& Z* a0 W
/bin/login
& I0 ?$ C3 ~- H2 o
. s; Q4 R8 U& c1 s
/bin/find
# M6 {( q3 [, _6 Q
# x; ~! E% t; v. c8 B2 v/ K. B
/bin/ps
6 i/ W+ [8 i5 z* P
/ z8 s! U9 n3 _
/sbin/netstat
$ ]! D" J, @/ Q3 F
- t U! w3 L: z" R& Q4 F$ n
**********************************
/ N' }! U& m1 `9 P6 ~1 O l
" o( @- h2 O2 b, C- L
如果发现不一致,那么这些binaries程序很可能就是后门程序,应该使用信任拷贝来恢复系统。一旦发现这些特征,就表明你的系统很可能被入侵了。一旦被入侵,那么你应该考虑重装系统并安装最新的补丁。想获取更多信息,请参考:http://www.cert.org/nav/recovering.html。
* d9 V2 }% D& o$ }8 K M
5 J' j5 u c- l+ I& G
欢迎光临 数学建模社区-数学中国 (http://www.madio.net/)
Powered by Discuz! X2.5