找出rootkit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于/bin/ps。在我们的Linux操作系统机器里它大概有60kB。我最近遇到一个被rootkit替换的ps程序,这个东西只有大约12kB的大小。
另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history文件。假如这个文件是空的,就执行一个ls-l~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者,你可能会看到类似以下的输出:lrwxrwxrwx 1 jd jd 9 Oct 1019:40/home/jd/.bash_history -> /dev/null
假如你看到的是第二种,就表明这个。bash_history文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。
解决Linux操作系统服务器被黑,需要寻找未知的用户账号:
在你打算对你的Linux操作系统机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux服务器时,敲入以下的命令:
grep :x:0: /etc/passwd
只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:
root:x:0:0:root:/root:/bin/bash
假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。认真来说,虽然对于发现黑客行为,以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。
分享到:
相关推荐
linux ps 命令详解 资源收集 linux ps 命令详解 资源收集
linux ps命令的源码;其实就是遍历/proc目录;供参考。
linux中的PS命令使用说明。 PS是LINUX下最常用的也是非常强大的进程查看命令。
linux上机考试:Linux硬盘分区和格式化命令.pdf
linux 命令 常用 详解,适合作为参考手册
Linux下的ps aux命令详解 ps命令操作教程
Linux服务器安全策略详解 关于linux服务器安全方面的一些讲解
linux命令整理:磁盘管理 主要介绍了一半的磁盘管理命令
Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux常用命令Linux...
Linux rm命令:删除文件或目录
《linux系统命令及shell脚本实践指南》由浅入深、全面、系统地介绍了Linux系统的基础命令和Shell脚本的开发。作为一本面向Linux入门用户的书籍,本书力求语言通俗易懂,用例简单明了,便于读者阅读领会。同时,全书...
Linux入门教程:经典入门级命令大全 Linux入门教程:经典入门级命令大全
linuxps命令、kill命令及kill函数概述[借鉴].pdf
Linux系统基础命令;2;3;Linux命令行操作技巧;登录命令1: login (1);登录命令1: login (2);登录命令2: last;登录命令3: exit;电源命令1: shutdown (1);电源命令1: shutdown (2);电源命令2: halt;电源命令3: reboot;...
linux中的PS命令.pdf
大数据课程自备资料:Hadoop安装指南 + Linux常用操作命令
第四部分是Linux下开源数据库安全以及Linux下新闻组服务器构建、网络钓鱼的防范、Linux无线网络构建及其安全策略、使用Linux安全审计以及使用SeLinux保护Linux服务器的方法;第五部分是1个附录,介绍Linux服务器应急...
第四部分是Linux下开源数据库安全以及Linux下新闻组服务器构建、网络钓鱼的防范、Linux无线网络构建及其安全策略、使用Linux安全审计以及使用SeLinux保护Linux服务器的方法;第五部分是1个附录,介绍Linux服务器应急...