怎么判断你的Linux系统机器是否被黑

转载 2007年09月23日 01:55:00
原贴:http://blog.chinaunix.net/u/23204/showart_245972.html

怎么判断你的Linux系统机器是否被黑
 
 

俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此 的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被 黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。

一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。

一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,一切都完了。 唯一可以做就是用最快的效率备份你的数据,清理硬盘,然后重新安装操作系统。无论如何,一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。

你能信任你的ps命令吗?

找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个 诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只有大约12kB的大小。

另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。

你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你 发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history 文件。假如这个文件是空的,就执行一个ls -l ~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:

  -rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

又或者,你可能会看到类似以下的输出:

  lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

假如你看到的是第二种,就表明这个 .bash_history 文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。

寻找未知的用户账号

在你打算对你的Linux机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时,敲入以下的命令:

  grep :x:0: /etc/passwd

只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:

  root:x:0:0:root:/root:/bin/bash

假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。

认真来说,虽然对于发现黑客行为,以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。

我的建议是,假如你怀疑你的系统真的出了问题,打电话给一个Linux的安全专家,参考他的意见。毕竟Linux的安全不是一下子就可以弄好的。

 

linux查看机器的资源命令

uname -a # 查看内核/操作系统/CPU信息 head -n 1 /etc/issue # 查看操作系统版本 cat /proc/cpuinfo # 查看CPU信息 hostnam...
  • yanghaitao_1990
  • yanghaitao_1990
  • 2016年06月12日 21:01
  • 552

如何来判断你的Linux系统机器是否被黑?

俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统...
  • rushcc2006
  • rushcc2006
  • 2009年12月18日 10:32
  • 229

排查Linux机器是否已经被入侵

转载自:http://www.cnblogs.com/stonehe/p/7562374.html 随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入...
  • qwertyupoiuytr
  • qwertyupoiuytr
  • 2017年09月20日 17:17
  • 405

如何知道你的Linux系统机器是否被黑

...
  • magicbreaker
  • magicbreaker
  • 2007年01月15日 12:50
  • 818

判断Linux系统是否被黑的方法

俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统...
  • The_IT_Crowd
  • The_IT_Crowd
  • 2012年06月15日 11:06
  • 369

如何判断网站被黑?网站被黑如何应对?如何防止网站被黑?

如何判断网站被黑?网站被黑如何应对?如何防止网站被黑?网站安全是一直是我们做网站的重中之重,网站服务是否稳定,对用户、站方和搜索引擎来说都非常重要。目前国内网站的安全问题十分严峻,众多网站由第三方代建...
  • baidu_36847344
  • baidu_36847344
  • 2017年03月15日 18:02
  • 848

记一次Linux系统被入侵的排查过程(一)

事件起因:某晚,22点左右,我在与某君电话中,突然发现电脑上QQ自动离线,然后又自动登录,开始以为QQ被盗了。电话完后,发现是网络不稳定引起的,由于小区宽带上个月才进电信光纤网,存在一些不稳定因素,是...
  • guoziweb
  • guoziweb
  • 2016年08月15日 15:14
  • 1754

检查服务器是否被黑

top 执行后  按i  如果出来的不是top进程,可能就是被黑了~  听浪潮的家伙说的,原理我也不知道~...
  • cloudeagle_bupt
  • cloudeagle_bupt
  • 2013年06月26日 16:46
  • 616

如何判断一台机器是否属于域

解决问题的方向查看 Windows LOGON 的描述.1.概念.NT的LOGON描述开始了.在讲述NT的LOGON之前,有几个关键的字眼要说一下.LOGON进程: NT的登录进程.拥有工作站,桌面,...
  • amandar
  • amandar
  • 2005年12月29日 09:40
  • 2057

新弄的香港VPS被黑客入侵,特此记录

昨天:远程时,发现VPS的某个进程异常:VPS的XenGuestAgent.exe进程竟然吃了1G虚拟内存。 于是写了简单的文章记录了下: http://www.cyqdata.com/cyq116...
  • cyq1162
  • cyq1162
  • 2016年11月23日 12:15
  • 585
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:怎么判断你的Linux系统机器是否被黑
举报原因:
原因补充:

(最多只允许输入30个字)