Linux上如何阻止系统攻击者

转载 2007年09月25日 02:13:00
原贴:http://www.linuxpk.com/42410.html

在网络攻击环境下,这却是可能发生的。当一个攻击 者利用一个系统漏洞非法入侵进入到你的系统。当你使用ps命令列出系统中的所有的进程时,却看不到什么异常的证据。你查看你的password文件,一切 也是那么的正常。到底发生了什么事情呢?当系统进入到你的系统以后,第一步要做的事情就是取代系统上某些特定的文件:如netstat命令等。当你使用 netstat -a命令时,就不会显示系统攻击者存在的信息。当然攻击者将替代所有的可能泄露其存在的文件。一般来说包括:

  /bin/ps

  /bin/netstat

  /usr/bin/top

  由于这些文件已经被取代。所以简单的利用ls命令查看这些文件是看不出什么破绽的。有若干种方法你可以验证系统文件的完整性。如果你安装的是Red Hat, Caldera, TurboLinux或任何使用RPM的系统。你可以利用RPM来验证系统文件的完整性:

  首先你应该查明你的那些你需要查看的文件来自哪个软件包,使用rpm命令你可以查明某个文件属于某个包:

  # rpm -qf /bin/netstat

  net-tools-1.51-3

  然后,可以扫描整个rpm包来查看那些发生了改变。对没有发生改变的包使用该命令将没有任何输出信息,如下所示:

  # rpm -V net-tools

  #

  将netstat的5.2版本的二进制可执行文件替换为6.0的版本以后再使用该命令的结果为:

  .......T /bin/netstat

  这说明/bin/netstat/文件已经被修改。若我使用rpm -qf测试ps和top命令可以得到其属于包procps,然后在验证包procps的完整性。下面是一个被黑的站点的结果:

  # rpm -qf /bin/ps

  procps.2.0.2-2

  # rpm -V procps

  SM5..UGT /bin/ps

  SM5..UGT /usr/bin/top

  攻击者入侵到系统中,并且用自己的ps及top命令替代了我们系统中的命令。从而使管理员看不到其运行的进程,也许是一个sniffer来监听所有的用户所有进出网络的数据并找寻到密码信息。

  下面是一个小的script来扫描你系统的所有的rpm库,并检查所有的包是否被篡改。但是应该注意的是并不是所有该scripts报告的问题都是说明该系统文件被攻击者破坏。例如你的apssword文件一般肯定和你安装系统时是不同的:

  #!/bin/bash

  #

  # Run through rpm database and report inconsistencies

  #

  for rpmlist in `rpm -qa` # These quotes are back quotes

  do

  echo " ----- $rpmlist -----" ; rpm -V $rpmlist

  done > /tmp/rpmverify.out

   当你运行该scripts时,输出被定向到文件/tmp/rpmverify.out你可以使用less命令查看该文件。但是由于文本文件如: /etc/passwd, /etc/inetd.conf等很可能显示为被修改过。但是你如何知道这些是管理员自己修改的还是入侵者修改的呢方法是在你确保你的系统是干净的,没有 被攻击者入侵时,你为这些系统文件创建指纹信息。在你怀疑你的系统被入侵时使用这些这些指纹信息来判定系统是否被入侵。创建文件的指纹信息是通过命令 md5sum 来实现的:

  # md5sum /etc/passwd

  d8439475fac2ea638cbad4fd6ca4bc22 /etc/passwd

  # md5sum /bin/ps

  6d16efee5baecce7a6db7d1e1a088813 /bin/ps

  # md5sum /bin/netsat

  b7dda3abd9a1429b23fd8687ad3dd551 /bin/netstat

  这些数据是我的系统上的文件的指纹信息。不同的系统上的文件的 指纹信息可能是不同的,你应该是使用md5sum来计算自己系统文件的指纹信息。下面是一些你应该创建指纹信息的文件;

  /usr/bin/passwd

  /sbin/portmap

  /bin/login

  /bin/ls

  /usr/bin/top

  /etc/inetd.conf

  /etc/services

  通过指纹信息你可以决定是否有系统文件被修改。
 
  • 本文已收录于以下专栏:

相关文章推荐

渗透测试:以攻击者的方式思考

  • 2011年12月28日 16:53
  • 25KB
  • 下载

wordpress IP黑名单插件:IP Blacklist Cloud屏蔽攻击者IP让网站更安全

本文转载至:https://www.luoxiao123.cn/ip-blacklist-cloud.html 网站被360扫描到cpu使用率过高,只好把360 IP地址屏蔽,当时找了款插件叫IP ...

攻击者和受害者:剖析网络攻击敲诈勒索的四大类型!

中国互联网也逐步的走出一味模仿,开始创新和颠覆。但是不可否认的是,中国互联网也有其特色:网络攻击敲诈勒索,从互联网在国内落地的第一天开始就伴随着成长、发展、创新、壮大,最后形成一条让人恨之入骨又不可奈...

6月1日《网络安全法》出台_让被攻击者投诉有门!

从上周五(5月12日)开始,一场名为NSA “永恒之蓝” 的勒索蠕虫病毒迅速席卷了全球,中国的互联网用户未能幸免。据相关数据显示,国内被感染的组织和机构已经覆盖了几乎所有地区和行业,影响范围遍布高校、...

通过WEB日志安全分析追踪攻击者

摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 本文主要讲述了WEB日志...

对攻击者伪装成可信IP地址的攻击之防范策略

攻击者通过改变自己身IP地址伪装成内部网用户或可信的外部网用户,以合法用户身份登录那些只以IP地址作为验证的主机;或者发送特定的报文以干扰正常的网络数据传输;或者伪造可接收的路由报文(如发送ICMP报...

中国地下市场出现了攻击Apache Struts漏洞的工具, 可让攻击者在目标服务器上执行任意指令

大约在一个月前,Apache软件基金会发布了Struts 2.3.15.1,这是受欢迎的Java Web应用程序开发框架的更新版本。此修补程序的推出是因为旧版本Struts内的漏洞可以让攻击者在有漏洞...
  • iqushi
  • iqushi
  • 2013年08月30日 15:33
  • 876

《网络安全法》出台_让被攻击者投诉有门!

原文链接 从上周五(5月12日)开始,一场名为NSA “永恒之蓝” 的勒索蠕虫病毒迅速席卷了全球,中国的互联网用户未能幸免。据相关数据显示,国内被感染的组织和机构已经覆盖了几...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux上如何阻止系统攻击者
举报原因:
原因补充:

(最多只允许输入30个字)