数学建模社区-数学中国
标题:
如何知道系统被入侵(Linux/Unix)
[打印本页]
作者:
韩冰
时间:
2004-10-5 09:00
标题:
如何知道系统被入侵(Linux/Unix)
检查你的系统查找如下特征,一旦发现表明你的系统被此文中提到的一些人入侵了。
4 P. ~+ @# S* E8 N, Q
1 f2 ~- j1 [* ]3 e
1.目录 /dev/../sun2 存在
. c; G: }% g7 z# s; u0 C0 a( u
" ? r# q5 ]1 \
2.目录 /var/spool/.recent存在
, Y. V: t% E8 C9 D7 ]7 E* {
3 m, R, P0 c8 N5 o7 M' V& P3 b
3.Solaris installation has /bin/pico
1 [8 {( K! x5 R& B2 o" p; ]5 ?
8 p# [, @ W$ g( s9 ]6 ~
4.Solaris 安装了 /bin/pico
9 c6 M9 J( v) I3 t$ u7 X
* L" [6 a! j$ p
5.你可以以root登录,密码是ABcDeFgHiJ
/ I) b$ a0 p' ~8 t
4 |: ?! Q; _# C" l$ q& w
6.一些日志或用户文件包含're'或'r'帐号
) H& g) v i- Z: o
1 S0 _: Y O8 ]4 H& z. N. Y) H
如果你的系统运行的是Solaris操作系统,你可以用下面命令MD5签名同Sun的在线MD5指纹数据库进行比较http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7
4 c4 [% B7 p9 `& `& K/ f! L
( j1 h9 r8 F! j: J) Q7 _! f
**********************************
! F9 `7 N1 l% l, U8 Y) ]
" _( A+ `- W/ U v4 K! V
/bin/ls
$ K5 }; L1 M+ g. ?6 z+ f- {
! o2 o# c0 ~9 c+ H7 w
/bin/login
, Q5 ?5 `0 J- t3 R: M
: }) @/ s9 c- G" N4 v
/bin/find
# d/ D) D! W! ^6 z
: L; r4 }# @' `& E' T' p2 b5 y
/bin/ps
$ T! S" u5 c$ I" \; o, l" B, N6 a+ @5 ^
6 c5 N1 O, H6 J
/sbin/netstat
9 c& k+ U# p2 Q; N. @: Y
# j* [# E: P3 \' k0 S
**********************************
8 I( i& F1 K f8 p8 q
! U' M& O$ ^8 S0 K U: {, j, Z
如果发现不一致,那么这些binaries程序很可能就是后门程序,应该使用信任拷贝来恢复系统。一旦发现这些特征,就表明你的系统很可能被入侵了。一旦被入侵,那么你应该考虑重装系统并安装最新的补丁。想获取更多信息,请参考:http://www.cert.org/nav/recovering.html。
# [ @0 l9 m9 y7 b _ G! D
( V% C7 p a+ w, `
欢迎光临 数学建模社区-数学中国 (http://www.madio.net/)
Powered by Discuz! X2.5