检测Unix是否被入侵最快捷的方法

  辨别Unix体系是否被入侵，必要较高的技巧，固然也有一些非常简略的方法。
  简略的方法便是检查体系日记、历程表和文件体系，检察是否存在一些“稀罕的”音讯、历程大概文件。例如：
  两个运行的inetd历程（应该只有一个）；
  .ssh以root的EUID运行而不因此root的UID运行；
  在“/”下的RPC办事的焦点文件；
  新的setuid/setgid步伐；
  巨细迅速增长的文件；
  df和du的结果不相近；
  perfmeter/top/BMC Patrol/SNMP（以上都是一些监控的步伐）的监督器与vmstat/ps的结果不符，远高于平时的网络流量；
  dev下的平凡文件和目次条目，尤其是看起来称号比力正常的；
  /etc/passwd和/etc/shadow，下是否有不正常大概没有密码的账号存在；
  /tmp、/var/tmp和其他有可写权限的目次下的稀罕文件名，这里所指的稀罕是指名字雷同于“…”的（3个点）。如果您发现这样的称号，但实际上倒是个目次的话，那么你的体系十有八九存在问题。
  也要细致检察/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合适的新条目存在。
  别的，还要亲昵细致那些潜伏的信任干系。例如，NFS上主机之间是怎样挂载的？哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目？哪台主机有.netrc文件？该主机与谁共享网段？您应该继续对它做一番观察。通常攻击者不止粉碎一台主机，他们从一台主机跳到另一台，隐蔽好踪迹，并开放尽大概多的后门。
  如果您有任何可疑的发现，那么请接洽您的本地计算机紧急变乱相应小组，来帮助检查网络的其他主机，并恢复受损站点。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：