常承當著關鍵任務的Unix操作系統,經常是很多的入侵者攻擊的首選目標。於是檢測入侵、保護系統安全是管理員的最為重要的任務之一。在沒有其它工具幫助的情況下,我們來學習如何檢查入侵吧。
檢查Unix操作系統密碼文件
首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。
輸入命令 awk –F:’$3==0 {print $1}’ /etc/passwd來檢查一下passwd文件中有哪些特權用戶,系統中uid為0的用戶都會被顯示出來。順便再檢查一下系統裡有沒有空口令帳戶:awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
查看一下進程,看看有沒有奇怪的進程
重點查看進程:ps –aef | grep inetd
inetd是Unix操作系統的守護進程,正常的inetd的pid都比較靠前,如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程,著重看inetd –s後面的內容。
在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd –s,同樣沒有用inetd去啟動某個特定的文件;如果你使用ps命令看到inetd啟動了某個文件,而你自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了你的系統,並且以root權限起了一個簡單的後門。
輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進程。
一旦發現異樣的進程,經檢查為入侵者留下的後門程序,立即運行kill –9 pid 開殺死該進程,然後再運行ps –aef查看該進程是否被殺死;一旦此類進程出現殺死以後又重新啟動的現象,則證明Unix操作系統被人放置了自動啟動程序的腳本。
這個時候要進行仔細查找:find / -name 程序名 –print,假設系統真的被入侵者放置了後門,根據找到的程序所在的目錄,Unix操作系統下隱藏進程有的時候通過替換ps文件來做,檢測這種方法涉及到檢查文件完整性,一會我們再討論這種方法。
關於Unix操作系統檢查是否被入侵的一些知識就介紹到這裡,希望大家看完之後更加的熟練運用。
