如何知道系统被入侵(Linux/Unix)

韩冰

检查你的系统查找如下特征，一旦发现表明你的系统被此文中提到的一些人入侵了。 $ N5 v% Z9 p2 V2 ` & j( d# ]# ^" W$ M　　1.目录 /dev/../sun2 存在 * ^) N# x) r4 _* d( _ 　　2.目录 /var/spool/.recent存在 1 ^) j7 F5 @; M1 [　　3.Solaris installation has /bin/pico # `. `) _# s: r D　　4.Solaris 安装了 /bin/pico 　　5.你可以以root登录，密码是ABcDeFgHiJ - {; N$ Q1 o. N* ]+ `$ z7 ] 　　6.一些日志或用户文件包含're'或'r'帐号 1 v" j& \2 I9 i4 e$ ` ' m8 c7 B) P! K# P6 l; N) a　　如果你的系统运行的是Solaris操作系统，你可以用下面命令MD5签名同Sun的在线MD5指纹数据库进行比较http://sunsolve.Sun.COM/pub-cgi/show.pl?target=content/content7 2 }$ F5 S# v) @ K J, Y' B % Y; K4 d9 C1 r9 z　　********************************** 　　/bin/ls ) x. A, `4 E7 }" b6 L ( }( K8 Y) }) Q4 E( Z: A　　/bin/login D, r" o' M/ Y/ Z9 T　　/bin/find 　　/bin/ps # _+ u8 `- K% K g! m( V1 Y ; z) ?" W6 Y5 D+ ^* B: ^; {　　/sbin/netstat , j! U" D, B; R4 j' ]　　********************************** 　　如果发现不一致，那么这些binaries程序很可能就是后门程序，应该使用信任拷贝来恢复系统。一旦发现这些特征，就表明你的系统很可能被入侵了。一旦被入侵，那么你应该考虑重装系统并安装最新的补丁。想获取更多信息，请参考：http://www.cert.org/nav/recovering.html。