鑒別Unix系統是否被入侵,需要較高的技巧,當然也有一些非常簡單的方法。
簡單的方法就是檢查系統日志、進程表和文件系統,查看是否存在一些“奇怪的”消息、進程或者文件。例如:
兩個運行的inetd進程(應該只有一個);
.ssh以root的EUID運行而不是以root的UID運行;
在“/”下的RPC服務的核心文件;
新的setuid/setgid程序;
大小迅速增長的文件;
df和du的結果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些監控的程序)的監視器與vmstat/ps的結果不符,遠高於平時的網絡流量;
dev下的普通文件和目錄條目,尤其是看起來名稱冉險 5模?br>
/etc/passwd和/etc/shadow,下是否有不正常或者沒有密碼的賬號存在;
/tmp、/var/tmp和其他有可寫權限的目錄下的奇怪文件名,這裡所指的奇怪是指名字類似於“…”的(3個點)。如果您發現這樣的名稱,但實際上卻是個目錄的話,那麼你的系統十有八九存在問題。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合適的新條目存在。
如果您有任何可疑的發現,那麼請聯系您的本地計算機緊急事件響應小組,來幫助檢查網絡的其他主機,並恢復受損站點。
