檢測(cè)Unix操作系統(tǒng)幾個(gè)方面
在我們經(jīng)常使用Unix操作系統(tǒng)的過程中,很多的入侵者攻擊的首選目標(biāo)就選擇了Unix操作系統(tǒng)。那么,管理員的最為重要的任務(wù)也就包括了檢測(cè)入侵、保護(hù)系統(tǒng)安全。下面,我們就來學(xué)習(xí)下這個(gè)問題。
檢查Unix操作系統(tǒng)守護(hù)進(jìn)程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v “^#”,輸出的信息就是你這臺(tái)機(jī)器所開啟的遠(yuǎn)程服務(wù)。一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個(gè)后門,比如用/bin/sh 替換掉in.telnetd,然后重新啟動(dòng)inetd服務(wù),那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個(gè)rootshell。
檢查網(wǎng)絡(luò)連接和監(jiān)聽端口
輸入netstat -an,列出本機(jī)所有的連接和監(jiān)聽的端口,查看有沒有非法連接。
輸入netstat –rn,查看本機(jī)的路由、網(wǎng)關(guān)設(shè)置是否正確。
輸入 ifconfig –a,查看網(wǎng)卡設(shè)置。
檢查Unix操作系統(tǒng)日志
命令last | more查看在正常情況下登錄到本機(jī)的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程,這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會(huì)停止Unix操作系統(tǒng)的syslog,查看Unix操作系統(tǒng)syslog進(jìn)程的情況,判斷syslog上次啟動(dòng)的時(shí)間是否正常,因?yàn)閟yslog是以root身份執(zhí)行的,如果發(fā)現(xiàn)syslog被非法動(dòng)過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
在solaris下輸入 ls –al /var/adm
檢查wtmp utmp,包括messgae等文件的完整性和修改時(shí)間是否正常,這也是手工擦除入侵痕跡的一種方法。
檢查Unix操作系統(tǒng)中的core文件
通過發(fā)送畸形請(qǐng)求來攻擊服務(wù)器的某一服務(wù)來入侵Unix操作系統(tǒng)是一種常規(guī)的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它并不能100%保證成功入侵Unix操作系統(tǒng),而且通常會(huì)在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件,全局查找系統(tǒng)中的core文件。
輸入find / -name core –exec ls –l {} \; 依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。
如此,我們就對(duì)Unix操作系統(tǒng)入侵的問題解釋了很多。希望大家對(duì)有所幫助。
【編輯推薦】
