当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-03 20:21 
头像

注册: 2007-05-06 8:19
帖子: 7433
送出感谢: 0 次
接收感谢: 4
俗称“脚本小鬼”的家伙 是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在 多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。

  一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。

  一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,一切都完了。唯一可以做就是用最快的效率备份你的数据,清理硬盘,然后重新安装操作系统。无论如何,一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。

  你能信任你的ps命令吗?

  找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个 诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只有大约12kB的大小。

  另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台 Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
...


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-03 20:49 
头像

注册: 2007-11-19 21:51
帖子: 6956
地址: 成都
送出感谢: 0 次
接收感谢: 4
我的ps咋有78k呢? :em06


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-04 0:51 
头像

注册: 2006-09-10 22:36
帖子: 10663
地址: 北京
送出感谢: 1
接收感谢: 16
代码:
Console ~ $ ll /bin/ps
-r-xr-xr-x 1 root root 68084 08-01 18:32 /bin/ps


_________________
看破、放下、自在、随缘、念佛
真诚、清净、平等、正觉、慈悲


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-04 2:25 
头像

注册: 2008-03-05 12:31
帖子: 429
地址: 示爱须唱山歌
送出感谢: 0 次
接收感谢: 0 次
少用别人的脚本。。。。 :em06


_________________
六十学裁缝,晚否......


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-04 9:01 
头像

注册: 2005-08-14 21:55
帖子: 58428
地址: 长沙
送出感谢: 4
接收感谢: 272
一旦比黑,别指望软件可以通过一种规则来发现。
别幼稚了。


_________________
● 鸣学


页首
 用户资料  
 
6 楼 
 文章标题 : Re: 判断Linux系统是否被黑的方法
帖子发表于 : 2008-12-04 11:59 
头像

注册: 2008-08-22 11:30
帖子: 1233
地址: ヨイツ
送出感谢: 1
接收感谢: 1
我的ps是63.8k
:em06


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译