判断Linux系统是否被黑的方法-红联Linux系统门户

　　俗称“脚本小鬼”的家伙是属于那种很糟糕的黑客，因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说，如果你安装了所有正确的补丁，拥有经过测试的防火墙，并且在多个级别都激活了先进的入侵检测系统，那么只有在一种情况下你才会被黑，那就是，你太懒了以至没去做该做的事情，例如，安装BIND的最新补丁。

　　一不留神而被黑确实让人感到为难，更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具，这些都占用了你的CPU，存储器，数据和带宽。这些坏人是从那里开始着手的呢？这就要从root kit开始说起。

　　一个root kit其实就是一个软件包，黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器，一切都完了。唯一可以做就是用最快的效率备份你的数据，清理硬盘，然后重新安装操作系统。无论如何，一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。

　　你能信任你的ps命令吗？

　　找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是，“真的一切都正常吗？”黑客常用的一个诡计就是把ps命令替换掉，而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个，应该检查你的ps文件的大小，它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序，这个东西只有大约12kB的大小。

　　另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。

　　你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令，而它并没有出现在之前使用过的命令列表里，你要看一看你的~/.bash_history 文件。假如这个文件是空的，就执行一个ls -l ~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出：

　　

引用:
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

　　又或者，你可能会看到类似以下的输出：

　　

引用:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

　　假如你看到的是第二种，就表明这个 .bash_history 文件已经被重定向到/dev/null。这是一个致命的信息，现在就立即把你的机器从Internet上断掉，尽可能备份你的数据，并且开始重新安装系统。

　　寻找未知的用户账号

　　在你打算对你的Linux机器做一次检测的时候，首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时，敲入以下的命令：

　　

引用:
grep :x:0: /etc/passwd

　　只有一行，我再强调一遍，在一个标准的Linux安装里，grep命令应该只返回一行，类似以下：

　　

引用:
root:x:0:0:root:/root:/bin/bash

　　假如在敲入之前的grep命令后你的系统返回的结果不止一行，那可能就有问题了。应该只有一个用户的UID为0，而如果grep命令的返回结果超过一行，那就表示不止一个用户。

　　认真来说，虽然对于发现黑客行为，以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性，而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。

　　我的建议是，假如你怀疑你的系统真的出了问题，打电话给一个Linux的安全专家，参考他的意见。毕竟Linux的安全不是一下子就可以弄好的。

chiu518 于 2009-12-01 01:27:51发表:

(6)m:b相当受教

zqenoch 于 2009-11-30 19:24:08发表:

{:2_106:}

happydxz 于 2009-11-05 21:55:06发表:

是只返回一行，谢谢楼主

zzy870720z 于 2009-09-22 14:34:22发表:

学习了

骑蜗牛追赶爱于 2009-09-19 17:09:33发表:

学习了～感谢楼主

zhouhym 于 2009-09-18 21:40:47发表:

长见识了，谢谢

我爱敏敏于 2009-09-18 08:20:25发表:

顶顶你！

hungrying 于 2009-09-17 15:45:24发表:

长见识了

shenhao0129 于 2009-09-13 21:09:40发表:

应该没有人对我的系统里面的东西感兴趣的！都不值钱对他们来说

xrjxs 于 2009-09-13 14:44:34发表:

:0wpoi2

xiazhouquan 于 2009-09-03 10:17:26发表:

收下了，楼主辛苦

dongch123 于 2009-09-02 17:28:58发表:

{:2_92:}{:2_92:}

jackwen 于 2009-08-17 19:48:23发表:

0:w(5(

309809117 于 2009-08-12 10:30:31发表:

收藏...

xuhui@126.com 于 2009-06-15 21:24:29发表:

看来安全只是相对的

wula9707 于 2009-06-10 10:42:41发表:

学习。。。收藏。。。

haibian 于 2009-06-09 21:54:50发表:

很好的操作，但有效么

yangshan 于 2009-06-08 11:51:55发表:

深了
！

小普林斯于 2009-06-07 19:13:35发表:

(e:e2s顶起！

qq470320278 于 2009-06-07 19:10:52发表:

[font=楷体_GB2312][align=center]问题是如果知道自己被黑后怎么办？楼主有解决办法没？[/align][/font]

[attach]15754[/attach]

zli91 于 2009-06-07 08:11:55发表:

啊，还不知道用linux这么危险，时刻要小心。

norman0199 于 2009-05-31 23:15:22发表:

谢谢指教

norman0199 于 2009-05-31 23:15:18发表:

qq470320278 于 2009-05-31 09:37:34发表:

谢谢楼主

qq470320278 于 2009-05-31 09:37:24发表:

学习中

kdhmstdhl 于 2009-05-29 12:51:06发表:

谢谢

shasure 于 2008-12-16 14:02:44发表:

(6)m:b

zpm_007 于 2008-12-10 22:51:08发表:

菜鸟先收了再说

kdhmstd 于 2008-12-03 19:50:13发表:

:0)1

a42088772 于 2008-12-02 17:37:32发表:

a42088772 于 2008-12-02 17:37:22发表:

a42088772 于 2008-12-02 17:27:18发表:

a42088772 于 2008-12-02 17:27:12发表:

a42088772 于 2008-12-02 17:27:09发表:

a42088772 于 2008-12-02 17:27:04发表:

a42088772 于 2008-12-02 17:26:58发表:

loveiszhe 于 2008-08-27 13:35:44发表:

受教受教～！虽然学习了上面的那些命令，但是发现自己还是没有能活灵活用。这里文章应该加精。(e:e2s

lzj65166 于 2008-08-26 10:00:25发表:

难得啊，应该多出点这方面的东东。。:0)1

seanzhang19 于 2008-08-22 13:37:20发表:

又长见识了，谢谢楼主。

vdgame 于 2008-08-21 20:05:45发表:

谢谢，好文章！

判断Linux系统是否被黑的方法

共有 121 条评论

频道文章

最新教程

随机推荐