鉴别Unix系统是否被入侵,需要较高的技巧,当然也有一些非常简单的方法。
简单的方法就是检查系统日志、进程表和文件系统,查看是否存在一些“奇怪的”消息、进程或者文件。例如:
两个运行的inetd进程(应该只有一个);
.ssh以root的EUID运行而不是以root的UID运行;
在“/”下的RPC服务的核心文件;
新的setuid/setgid程序;
大小迅速增长的文件;
df和du的结果不相近;
perfmeter/top/BMC Patrol/SNMP(以上都是一些监控的程序)的监视器与vmstat/ps的结果不符,远高于平时的网络流量;
dev下的普通文件和目录条目,尤其是看起来名称冉险 5模?br>
/etc/passwd和/etc/shadow,下是否有不正常或者没有密码的账号存在;
/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名,这里所指的奇怪是指名字类似于“…”的(3个点)。如果您发现这样的名称,但实际上却是个目录的话,那么你的系统十有八九存在问题。
也要注意查看/.rhosts,/etc/hosts.equiv,/.ssh/known_hosts和~/.rhosts,看看是否有不合适的新条目存在。
如果您有任何可疑的发现,那么请联系您的本地计算机紧急事件响应小组,来帮助检查网络的其他主机,并恢复受损站点。
