怎样检查Linux服务器是否被入侵

        如果你安装了所有正确补丁拥有经过测试防火墙,并且在多个级别都激活了先进入侵检测系统,那么只有在种情况下你还会被黑那就是你太懒了,以至没去做该做事情。不留神而被黑确实让人感到为难更严重是某些脚本小鬼还会下载些众所周知“root kits”或者流行刺探工具这些都占用了你CPU存储器数据和带宽这些坏人是从那里开始着手呢?这就要从root kit开始说起 。

  root kit实际上就是个Software软件包。黑客利用它来提供给自己对你机器具有root级别访问权限。这个黑客能够以root身份访问你机器切都完了唯可以做就是用最快效率备份你数据清理硬盘然后重新安装操作系统无论如何旦你机器被某人接管了要想恢复并不是件轻而易举事情 。

  你能信任你ps命令吗? 

  找出root kit首个窍门是运行ps命令有可能对你来说切都看来很正常图示是个ps命令输出例子真正问题是“真切都正常吗?”黑客常用个诡计就是把ps命令替换掉而这个替换上ps将不会显示那些正在你机器上运行非法为了测试个应该检查你ps文件大小它通常位于 /bin/ps在我们Linux机器里它大概有60kB我最近遇到个被root kit替换ps这个东西只有大约12kB大小 

  另个明显骗局是把root命令历史记录文件链接到/dev/null这个命令历史记录文件是用来跟踪和记录个用户在登录上台Linux机器后所用过命令黑客们把你历史纪录文件重定向到/dev/null目在于使你不能看到他们曾经输入过命令 

  你可以通过在 shell提示符下敲入history来访问你历史记录文件假如你发现自己正在使用history命令而它并没有出现在的前使用过命令列表里你要看看你~/.bash_history 文件假如这个文件是空就执行个ls -l ~/.bash_history命令在你执行了上述命令后你将看到类似以下输出: 

  -rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history 

  又或者你可能会看到类似以下输出: 

  lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null 

  假如你看到是第 2种就表明这个 .bash_history 文件已经被重定向到/dev/null这是个致命信息现在就立即把你机器从Internet上断掉尽可能备份你数据并且开始重新安装系统 

  寻找未知用户账号 

  在你打算对你Linux机器做次检测时候首先检查是否有未知用户账号无疑是明智在下次你登录到你Linux机器时敲入以下命令: 

  grep :x:0: /etc/passwd 

  只有行我再强调遍在个标准Linux安装里grep命令应该只返回行类似以下: 

  root:x:0:0:root:/root:/bin/bash 

  假如在敲入的前grep命令后你系统返回结果不止行那可能就有问题了应该只有个用户UID为0而如果grep命令返回结果超过行那就表示不止个用户  。


你可能感兴趣的:(入侵黑)