首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的来源路径:
1.who------(查看谁登陆到系统中。)
2.w--------(查看谁登陆到系统中,且在做什么。)
3.last-----(显示系统曾经被登陆的用户和TTYS。)
4.lastcomm-(显示系统过去被运行的命令。)
5.netstat--(可以查看现在的网络状态,如telnet到你机器上来的用户的IP地址,还有一些其它的网络状态。)
6.查看router的信息。
7./var/log/messages查看外部用户的登陆状况。
8.用finger 查看所有的登陆用户。
9.查看用户目录下/home/username下的登陆历史文件(.history.rchist,etc)。
后注:who,w,last和lastcomm这些命令依靠的是/var/log/pacct,/var/log/wtmp,/etc/utmp来报告信息给你。许多精明的系统管理员对于入侵者都会屏蔽这些日志信息(/var/log/*,/var/log/wtmp,etc)(建议大家安装tcp_wrapper非法登陆到你机器的所有连接)。
接下来系统管理员要关闭所有可能的后门,一定要防止入侵者从外部访问内部网络的可能。如果入侵者发现系统管理员发现他已经进入系统,他可能会通过rm -rf /*试着隐蔽自己的痕迹。
第三,我们要保护下面的系统命令和系统配置文件以防止入侵者替换获得修改系统的权利。
1. /bin/login
2. /usr/etc/in.*文件(例如:in.telnetd)
3.inetd超级守护进程(监听端口,等待请求,派生相应服务器进程) 唤醒的服务。
(下列的服务器进程通常由inetd启动:fingerd(79),ftpd(21),rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd.inetd还可以启动其它内部服务,/etc/inetd.conf中定义的服务。
4.不允非常ROOT用户使用netstat,ps,ifconfig,su。
第四,系统管理员要定期去观察系统的变化(如:文件,系统时间,等)。
1. #ls -lac去查看文件真正的修改时间。
2. #cmp file1 file2来比较文件大小的变化。
第五,我们一定要防止非法用户使用suid(set-user-id)程序来得到ROOT的权限。
1.首先我们要发现系统中所有的SUID程序。
#find / -type f -perm -4000 -ls
2.然后我们要分析整个系统,以保证系统没有后门。
第六,系统管理员要定时的检查用户的.rhosts,.forward文件。
1.#find / -name .rhosts -ls -o -name .forward -ls 来检查.rhosts文件是否包含?0?++?0?,有则用户可以远程修改这个文件而不需要任何口令。
2.#find / -ctime -2 -ctime +1 -ls来查看不到两天以内修改的一些文件,从而判断是否有非法用户闯入系统。
第七,要确认你的系统当中有最新的sendmail守护程序,因为老的sendmail守护程序允许其它UNIX机器远程运行一些非法的命令。
第八,系统管理员应当要从你机器,操作系统生产商那里获得安全铺丁程序,如果是自由软件的话(如linux平台,建议大家可以到linux.box.sk来获得最好的安全程序和安全资料。)
第九,下面有一些检查方法来监测机器是否容易受到攻击。
1.#rpcinfo -p来检查你的机器是否运行了一些不必要的进程。
2.#vi /etc/hosts.equiv文件来检查你不值得信任的主机,去掉。
3.如果没有屏蔽/etc/inetd.conf中的tftpd,请在你的/etc/ inetd.conf加入:
tftp dgram udp wait nobody /usr/etc/in.tftpdin.tftpd -s /tftpboot
4.建议你备份/etc/rc.conf文件,写一个shell script定期比较。
cmp rc.conf backup.rc.conf
5.检查你的 inetd.conf和/etc/services文件,确保没有非法用户在里面添加一些服务。
6.把你的系统的/var/log/*下面的日志文件备份到一个安全的地方,以防止入侵者#rm /var/log/*。
7.一定要确保匿名FTP服务器的配置正确,我的机器用的是proftpd,在proftpd.conf一定要配置正确。
8.备份好/etc/passwd,然后改变root口令。一定要确保此文件不能够入侵者访问,以防止它猜测。
9.如果你还不能够防止入侵者的非法闯入,你可以安装ident后台守护进程和TCPD后台守护进程来发现入侵者使用的帐号!
10.确保你的控制台终端是安全的,以防止非法用户能够远程登陆你的网络上来。
11.检查hosts.equiv,.rhosts,hosts,lpd都有注释标识#,如果一个入侵者用它的主机名代替了#,那么就意味着他不需要任何口令就能够访问你的机器。
分享到:
相关推荐
黑客攻防入门与进阶 网盘
黑客札记,linux与unix安全手册,讲了一系列的系统安全备忘录。
UNIX系统管理-系统安全-网络安全技术与黑客攻击威胁.doc
暗战亮剑-黑客攻防入门与进阶全程实录暗战亮剑-黑客攻防入门与进阶全程实录
最近抖音很火的在线伪装黑客高手装B网页源码,黑客大牛拿去做黑页吧
Unix/linux系统的安全性概述 对于网站管理人员而言,日常性的服务器安全保护主要包括四方面内容: 文件存取合法性:任何黑客的入侵行为的手段和目的都可以认为是非法存取文件,这些文件包括重要数据信息、主页页面 ...
黑客札记:Linux与unix安全手册.rar
Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补...对此,本文将介绍一些增强Linux/Unix服务器系统安全性的知识。
黑客攻防秘技大声报 网盘
工业控制系统安全相关文档,希望对大家有所帮助。
下面是本文的大纲: 上篇 Unix起源 Unix分裂 Unix的法律纠纷 GNU开源组织 Linux横空出世 ...Unix与黑客文化 Unix的历史教训 Unix 家族谱 Unix的特点 Unix的影响和哲学 Unix痛恨者手册
北京邮电大学教授、博士生导师,灾备...精准预测黑客行为的理论,《博弈系统论》的类比 精准预测黑客行为的理论依据 精准预测黑客行为的注意事项:不可管理性 精准预测黑客行为的例子 精准预测黑客行为的其它例子 小结
黑客攻防技术宝典:系统实战篇,不用多说一本值得一读的书籍
1操作系统安全保障措施全文共5页,当前为第1页。1操作系统安全保障措施全文共5页,当前为第1页。操作系统安全保障措施 1操作系统安全保障措施全文共5页,当前为第1页。 1操作系统安全保障措施全文共5页,当前为第1页...
windows操作系统与Unix操作系统的优缺点 windows: 优点:图形界面良好,拥有良好的集成开发环境,操作简单。 缺点:不是免费的软件,采用二进制代码,不易修改操作系统本身。漏洞比较多。和 linux和unix系统相比,...
ICS工业控制系统安全风险分析
中国黑客大会演讲_无线安全,网络知识传播。
许多程序员不知道如何开发安全的应用程序, ...本规范为解决Web应用系统安全问题, 对主要的应用安全问题进行分析,并 有针对性的从设计及开发规范、开发管理、安全组件框架、安全测试方面提供整 体的安全解决方案。