• <ins id='rxhsr'></ins>

      <dl id='rxhsr'></dl>

        <code id='rxhsr'><strong id='rxhsr'></strong></code>
      1. <tr id='rxhsr'><strong id='rxhsr'></strong><small id='rxhsr'></small><button id='rxhsr'></button><li id='rxhsr'><noscript id='rxhsr'><big id='rxhsr'></big><dt id='rxhsr'></dt></noscript></li></tr><ol id='rxhsr'><table id='rxhsr'><blockquote id='rxhsr'><tbody id='rxhsr'></tbody></blockquote></table></ol><u id='rxhsr'></u><kbd id='rxhsr'><kbd id='rxhsr'></kbd></kbd>
      2. <i id='rxhsr'><div id='rxhsr'><ins id='rxhsr'></ins></div></i>

            <span id='rxhsr'></span><fieldset id='rxhsr'></fieldset>

          1. <i id='rxhsr'></i>
            <acronym id='rxhsr'><em id='rxhsr'></em><td id='rxhsr'><div id='rxhsr'></div></td></acronym><address id='rxhsr'><big id='rxhsr'><big id='rxhsr'></big><legend id='rxhsr'></legend></big></address>

            判断Linux系统是否被黑的方法

            • 时间:
            • 浏览:5
            • 来源:124软件资讯网

              俗称“剧本小鬼”的家伙 是属于那种很糟糕的黑客 ,由于基本上他们中的许多和大多数人都是云云的没有技巧 。可以这样说  ,若是你安装了所有准确的补丁  ,拥有经由测试的防火墙  ,而且在 多个级别都激活了先进的入侵检测系统  ,那么只有在一种情形下你才会被黑  ,那就是  ,你太懒了以至没去做该做的事情  ,例如 ,安装BIND的最新补丁  。

                一不留心而被黑确实让人感应为难  ,更严重的是某些剧本小鬼还会下载一些众所周知的“root kits”或者盛行的密查工具  ,这些都占用了你的CPU  ,存储器 ,数据和带宽  。这些坏人是从那里最先着手的呢 ?这就要从root kit最先提及  。

                一个root kit实在就是一个软件包  ,黑客使用它来提供应自己对你的机械具有root级此外会见权限  。一旦这个黑客能够以root的身份会见你的机械  ,一切都完了  。 唯一可以做就是用最快的效率备份你的数据  ,清算硬盘  ,然后重新安装操作系统  。无论怎样  ,一旦你的机械被某人接受了要想恢复并不是一件十拿九稳的事情  。

                你能信托你的ps下令吗  ?

                找出root kit的首个窍门是运行ps下令 。有可能对你来说一切都看来很正常 。图示是一个ps下令输出的例子  。真正的问题是  ,“真的一切都正常吗  ?”黑客常用的一个 企图就是把ps下令替换掉  ,而这个替换上的ps将不会显示那些正在你的机械上运行的非法法式 。为了测试个  ,应该检查你的ps文件的巨细  ,它通常位于 /bin/ps 。在我们的Linux机械里它或许有60kB  。我最近遇到一个被root kit替换的ps法式 ,这个工具只有约莫12kB的巨细 。

                另一个显着的圈套是把root的下令历史记载文件链接到/dev/null  。这个下令历史记载文件是用来跟踪和记载一个用户在登录上一台Linux机械后所用过的下令的  。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的下令  。

                你可以通过在shell提醒符下敲入history来会见你的历史记载文件  。如果你发现自己 正在使用history下令  ,而它并没有泛起在之前使用过的下令列内外  ,你要看一看你的~/.bash_history 文件  。如果这个文件是空的  ,就执行一个ls -l ~/.bash_history下令  。在你执行了上述的下令后你将看到类似以下的输出:

              -rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

              又或者 ,你可能会看到类似以下的输出:

              lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

              如果你看到的是第二种  ,就讲明这个 .bash_history 文件已经被重定向到/dev/null 。这是一个致命的信息 ,现在就立刻把你的机械从Internet上断掉  ,尽可能备份你的数据  ,而且最先重新安装系统

              寻找未知的用户账号

                在你计划对你的Linux机械做一次检测的时间 ,首先检查是否有未知的用户账号无疑是明智的  。在下一次你登录到你的Linux机械时  ,敲入以下的下令:

              grep :x:0: /etc/passwd


              只有一行  ,我再强调一遍  ,在一个尺度的Linux安装里 ,grep下令应该只返回一行  ,类似以下:

              root:x:0:0:root:/root:/bin/bash
              如果在敲入之前的grep下令后你的系统返回的效果不止一行 ,那可能就有问题了  。应该只有一个用户的UID为0  ,而若是grep下令的返回效果凌驾一行  ,那就表现不止一个用户  。

                认真来说  ,虽然对于发现黑客行为 ,以上都是一些很好的基本要领 。但这些技巧自己并不能组成足够的宁静性  ,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远  。

                我的建议是 ,如果你嫌疑你的系统真的出了问题  ,打电话给一个Linux的宁静专家 ,参考他的意见  。究竟Linux的宁静不是一下子就可以弄好的