如何知道系统被入侵(Linux/Unix)

韩冰

检查你的系统查找如下特征，一旦发现表明你的系统被此文中提到的一些人入侵了。 " n. V7 [4 q+ v w' | j: l! ?7 S) R# J　　1.目录 /dev/../sun2 存在 　　2.目录 /var/spool/.recent存在 , G7 S& d4 d* b: m: ^: z　　3.Solaris installation has /bin/pico 　　4.Solaris 安装了 /bin/pico ! l1 S- S) T0 U4 j1 U6 q + W& @+ I$ b" u　　5.你可以以root登录，密码是ABcDeFgHiJ 　　6.一些日志或用户文件包含're'或'r'帐号 " A1 J5 W( R4 ]0 v9 S- s ' Q1 c1 `0 b4 H$ g8 L　　如果你的系统运行的是Solaris操作系统，你可以用下面命令MD5签名同Sun的在线MD5指纹数据库进行比较http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7 　　********************************** 　　/bin/ls 3 f' l2 U& i/ D8 Y7 a 　　/bin/login 3 U! h5 M2 p- ?) f) F7 n& J6 R6 i　　/bin/find # O6 I5 C: r5 q0 w6 Y4 F j" u, Y5 b- R4 M& U　　/bin/ps / a: e7 [1 J1 h7 z' \" r 　　/sbin/netstat 6 c4 a& z+ g% Z; c- c+ q: B 1 r* ?: l, Y7 K I( I; `　　********************************** 4 I' g. Y& G4 S$ ~9 f& V9 B/ s 　　如果发现不一致，那么这些binaries程序很可能就是后门程序，应该使用信任拷贝来恢复系统。一旦发现这些特征，就表明你的系统很可能被入侵了。一旦被入侵，那么你应该考虑重装系统并安装最新的补丁。想获取更多信息，请参考：http://www.cert.org/nav/recovering.html。 ) p% s, O, S* P/ H. }. \