鑒別Unix系統是否被入侵,需要較高的技巧,當然也有一些非常簡單的方法。
簡單的方法就是檢查系統日志、進程表和文件系統,查看是否存在一些“奇怪的”消息、進程或者文件。例如:
兩個運行的inetd進程(應該只有一個);
.ssh以root的EUID運行而不是以root的UID運行;
在“/”下的RPC服務的核心文件;
新的setuid/setgid程序;
大小迅速增長的文件;
df和du的結果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程序)的監視器與vmstat/ps的結果不符,遠高於平時的網絡流量;
dev下的普通文件和目錄條目,尤其是看起來名稱比較正常的;
/etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
/tmp、/var/tmp和其他有可寫權限的目錄下的奇怪文件名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的系統十有八九存在問題。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
另外,還要密切注意那些隱蔽的信任關系。例如,NFS上主機之間是怎麼掛載的?哪台主機有關於別的主機的.hosts、.shosts和hosts.equiv條目?哪台主機有.netrc文件?該主機與誰共享網段?您應該繼續對它做一番調查。通常攻擊者不止破壞一台主機,他們從一台主機跳到另一台,隱藏好蹤跡,並開放盡可能多的後門。
如果您有任何可疑的發現,那麼請聯系您的本地計算機緊急事件響應小組,來幫助檢查網絡的其他主機,並恢復受損站點。
