一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。
一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,一切都完了。 唯一可以做就是用最快的效率备份你的数据,清理硬盘,然后重新安装操作系统。无论如何,一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。
你能信任你的ps命令吗?
找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个 诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只有大约12kB的大小。
另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己 正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history 文件。假如这个文件是空的,就执行一个ls -l ~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:
引用:-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者,你可能会看到类似以下的输出:
引用:lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
假如你看到的是第二种,就表明这个 .bash_history 文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。
寻找未知的用户账号
在你打算对你的Linux机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时,敲入以下的命令:
引用:grep :x:0: /etc/passwd
只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:
引用:root:x:0:0:root:/root:/bin/bash
假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。
认真来说,虽然对于发现黑客行为,以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。
我的建议是,假如你怀疑你的系统真的出了问题,打电话给一个Linux的安全专家,参考他的意见。毕竟Linux的安全不是一下子就可以弄好的。
chiu518 于 2009-12-01 01:27:51发表:
(6)m:b相当受教
zqenoch 于 2009-11-30 19:24:08发表:
{:2_106:}
happydxz 于 2009-11-05 21:55:06发表:
是只返回一行,谢谢楼主
zzy870720z 于 2009-09-22 14:34:22发表:
学习了
骑蜗牛追赶爱 于 2009-09-19 17:09:33发表:
学习了~感谢楼主
zhouhym 于 2009-09-18 21:40:47发表:
长见识了,谢谢
我爱敏敏 于 2009-09-18 08:20:25发表:
顶顶你!
hungrying 于 2009-09-17 15:45:24发表:
长见识了
shenhao0129 于 2009-09-13 21:09:40发表:
应该没有人对我的系统里面的东西感兴趣的!都不值钱对他们来说
xrjxs 于 2009-09-13 14:44:34发表:
:0wpoi2
xiazhouquan 于 2009-09-03 10:17:26发表:
收下了,楼主辛苦
dongch123 于 2009-09-02 17:28:58发表:
{:2_92:}{:2_92:}
jackwen 于 2009-08-17 19:48:23发表:
0:w(5(
309809117 于 2009-08-12 10:30:31发表:
收藏...
xuhui@126.com 于 2009-06-15 21:24:29发表:
看来安全只是相对的
wula9707 于 2009-06-10 10:42:41发表:
学习。。。收藏。。。
haibian 于 2009-06-09 21:54:50发表:
很好的操作,但有效么
yangshan 于 2009-06-08 11:51:55发表:
深了
!
小普林斯 于 2009-06-07 19:13:35发表:
(e:e2s顶起!
qq470320278 于 2009-06-07 19:10:52发表:
[font=楷体_GB2312][align=center]问题是如果知道自己被黑后怎么办?楼主有解决办法没?[/align][/font]
[attach]15754[/attach]
zli91 于 2009-06-07 08:11:55发表:
啊,还不知道用linux这么危险,时刻要小心。
norman0199 于 2009-05-31 23:15:22发表:
谢谢指教
norman0199 于 2009-05-31 23:15:18发表:
谢谢指教
qq470320278 于 2009-05-31 09:37:34发表:
谢谢楼主
qq470320278 于 2009-05-31 09:37:24发表:
学习中
kdhmstdhl 于 2009-05-29 12:51:06发表:
谢谢
shasure 于 2008-12-16 14:02:44发表:
(6)m:b
zpm_007 于 2008-12-10 22:51:08发表:
菜鸟先收了再说
kdhmstd 于 2008-12-03 19:50:13发表:
:0)1
a42088772 于 2008-12-02 17:37:32发表:
0:w(5(
a42088772 于 2008-12-02 17:37:22发表:
0:w(5(
a42088772 于 2008-12-02 17:27:18发表:
0:w(5(
a42088772 于 2008-12-02 17:27:12发表:
0:w(5(
a42088772 于 2008-12-02 17:27:09发表:
0:w(5(
a42088772 于 2008-12-02 17:27:04发表:
0:w(5(
a42088772 于 2008-12-02 17:26:58发表:
0:w(5(
loveiszhe 于 2008-08-27 13:35:44发表:
受教受教~!虽然学习了上面的那些命令,但是发现自己还是没有能活灵活用。这里文章应该加精。(e:e2s
lzj65166 于 2008-08-26 10:00:25发表:
难得啊,应该多出点这方面的东东。。:0)1
seanzhang19 于 2008-08-22 13:37:20发表:
又长见识了,谢谢楼主。
vdgame 于 2008-08-21 20:05:45发表:
谢谢,好文章!