入侵检测方法
因为UNIX系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检查方法:
? 检查系统进程 #ps -aef or #ps aux
? 检查网络连接和监听端口 #netstat -an
? 检查系统日志,日志文件的属性和前后连续性
? 大量的端口扫描、帐号扫描,往往预示攻击的出现
?发现named或者syslogd等进程莫名其妙地掉了下来
? 检查系统中的core文件。#find / -name core -exec ls -l {} \\; 根目录下有syslogd,
或者ftpd等产生的不明core文件往往也暗示了攻击或者入侵的出现
? 检查系统中的suid程序 #find / -perm -004000 -exec ls -l {} \\;
? 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l {} \\;
? 检查所有的.rhosts文件 #find / -name .rhosts -exec ls -l {} \\;
? 检查所有的.forward文件
?检查/etc/hosts.equiv文件的内容
? 检查系统中的帐号 #more /etc/passwd; #awk -F: \$3==0 {print $1}\ /etc/passwd
? 检查系统帐号的口令设置
2 空口令帐号 #awk -F: \length($2)==0 {print $1}\ /etc/shadow
2 对比初始安装系统,确认系统缺省帐号的口令正确设置
2 检查脆弱口令 #./john -single /etc/shadow
2 检查是否有本来口令域为NP的系统帐号的口令域变为13个BASE64可显示字符
? 检查帐号口令shell设置的正确性。空表示sh。管理员应该对自己系统中
拥有正常shell的帐号非常清楚。
? 使用初始签名文件做比较,检查关键执行程序的完整性,如/bin/login, /bin/who,
/bin/netstat, etc
? 某主机的一个服务端口上出现拥塞现象,此时应该检查绑定在该端口上的服务类型。淹没式
和denial of service 式的攻击通常是欺骗攻击的先兆(或是一部分)。
? 日志中有人企图利用老的sendmail就是比较明显的攻击的信息,即有人在端口25上发出
了两三个命令,这些命令可能是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形式发
送给入侵者,另外show mount命令有可能是有人在收集计算机的信息。等等。
# 经验是最不可替代的。
的确,经验对于系统管理员来说太重要了,机器前面操作的经验是多少书本知识也无法代替的。如果想在网络安全方面成为一个高手,那么准备好自己的精力吧。
发布人:netbull 来自:网络安全热线