检测Unix是否被入侵最快捷的方法

鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。
简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:
两个运行的inetd进程(应该只有一个);
.ssh以root的EUID运行而不是以root的UID运行;
在“/”下的RPC服务的核心文件;
新的setuid/setgid程序;
大小迅速增长的文件;
df和du的结果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;
dev下的普通文件和目录条目,尤其是看起来名称比较正常的;
/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;
/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。
另外,还要密切注意那些隐蔽的信任关系。例如,NFS上主机之间是怎么挂载的?哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目?哪台主机有.netrc文件?该主机与谁共享网段?您应该继续对它做一番调查。通常攻击者不止破坏一台主机,他们从一台主机跳到另一台,隐藏好踪迹,并开放尽可能多的后门。
如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。

(0)

相关推荐

  • 检测Unix是否被入侵最快捷的方法

    鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法. 简单的方法就是检查系统日志.进程表和文件系统,查看是否存在一些"奇怪的"消息.进程或者文件.例如: 两个运行的inetd进程(应该只有一个): .ssh以root的EUID运行而不是以root的UID运行: 在"/"下的RPC服务的核心文件: 新的setuid/setgid程序: 大小迅速增长的文件: df和du的结果不相近: perfmeter/top/BMC Patrol/SNMP(以上都

  • JavaScript检测弹出窗口是否已经关闭的方法

    本文实例讲述了JavaScript检测弹出窗口是否已经关闭的方法.分享给大家供大家参考.具体实现方法如下: 复制代码 代码如下: var win = window.open('foo.html','windowName',"width=200,height=200,scrollbars=no"); var timer = setInterval(function() {       if(win.closed) {          clearInterval(timer);     

  • PHP使用gmdate实现将一个UNIX 时间格式化成GMT文本的方法

    本文实例讲述了PHP使用gmdate实现将一个UNIX 时间格式化成GMT文本的方法.分享给大家供大家参考.具体分析如下: 语法如下: string gmdate (string $Format) string gmdate (string $Format, int $Time) 演示代码 <?php echo "When this page was loaded,\n"; echo 'It was then ', gmdate ('r'), "\n"; ec

  • 总结UNIX/LINUX下C++程序计时的方法

    前言 良好的计时器可帮助程序开发人员确定程序的性能瓶颈,或对不同算法进行性能比较.但要精确测量程序的运行时间并不容易,因为进程切换.中断.共享的多用户.网络流量.高速缓存访问及转移预测等因素都会对程序计时产生影响. 下面看看小编为大家整理几个计时方法 方法一: 如果是想统计某个程序的运行时间,那么可以使用 time ./a.out 方法二: 如果是想对某个函数或者语句进行计时,那么有别的方法.比如说,gettimeofday函数.直接贴示例代码: #include <sys/time.h> v

  • C#正则检测字符串是否字母数字混编的方法

    本文实例讲述了C#正则检测字符串是否字母数字混编的方法.分享给大家供大家参考.具体如下: using System.Text; using System.Text.RegularExpressions; public static class StringExtensions { public static bool IsAlphanumeric(this string source) { Regex pattern = new Regex("[^0-9a-zA-Z]"); retur

  • 检测ip和port是否可连接的方法

    windows cmd telnet format: telnet ip port case: telnet 191.1.1.1 8080 telnet不能加http:// telnet不支持域名 telnet默认端口是23 telnet连接ip和port是空格" "而不是冒号":" 如果不可连接,会提示连接失败,否则如果cmd出现一大段空白和不可操作界面则表示连接成功. ping format: ping ip或者domain:port case: ping 19

  • C++检测键盘某键是否按下的方法

    检测键盘与鼠标差不多,但是它比较好记 但是比较奇怪,比如你想要检测字母,必须是它的大写 具体的就参照虚拟键盘值表,上百度可以查到 为了能更清楚地表达,我编了个小程序 #include<iostream> #include<windows.h> #define KEY_DOWN(VK_NONAME) ((GetAsyncKeyState(VK_NONAME) & 0x8000) ? 1:0) //必要的,我是背下来的 using namespace std; void col

  • python 2.7 检测一个网页是否能正常访问的方法

    如下所示: #!/bin/env python #coding:utf-8 import requests import sys url = "https://mp.csdn.net/" r = requests.get(url, timeout=5) code = r.status_code if code == 200:  print "OK 网站访问正常" sys.exit(0) else: print "Error 不能访问!" sys.

  • 安全检测Unix和Linux服务器安全设置入门精讲

    其实每一个黑客都有自己独到的方法.笔者对于入侵网站服务器的资料收集了很多,但是因为实际情况的不同,往往造成许多方法的失效:由此可见,每一个网站的情况都不同,需要入侵者区分对待.假设深圳的线路比北京的线路要好的多,从而给了词典穷举很大的方便,深圳用户就可以依靠这个优势在线攻击口令,作为北京的用户就需要优先考虑其它办法了.针对这么多的入侵手段,笔者参考H ackalot先生这位黑客界名人的一篇文章给大家介绍一下入侵网站的基本步骤.   分析一部分的主页被黑的事例可以发现使用入侵者最热衷于入侵Web服

  • Python检测和防御DOS攻击的最简单方法

    Python检测和防御DOS攻击的最简单方法

    目录 一.在CentOS上安装Python3 1.下载Python3.10源代码文件 2.运行以下命令行完成安装 3.确认是否安装成功 4.设置环境变量 5.配置pip国内镜像源 二.理解各个命令的含义 1.uptime 2.netstat 3.ss 4.firewall-cmd 5.sysctl 三.利用Python实现DDOS入侵检测 1.采集TCP连接数据 一.在CentOS上安装Python3 1.下载Python3.10源代码文件 下载地址:https://www.python.org

随机推荐