判断Linux系统是否被黑的方法

系统安装、升级讨论
版面规则
我们都知道新人的确很菜,也喜欢抱怨,并且带有浓厚的Windows习惯,但既然在这里询问,我们就应该有责任帮助他们解决问题,而不是直接泼冷水、简单的否定或发表对解决问题没有任何帮助的帖子。乐于分享,以人为本,这正是Ubuntu的精神所在。
回复
头像
冲浪板
论坛版主
帖子: 7513
注册时间: 2007-05-06 8:19

判断Linux系统是否被黑的方法

#1

帖子 冲浪板 » 2008-12-03 20:21

俗称“脚本小鬼”的家伙 是属于那种很糟糕的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在 多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。

  一不留神而被黑确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。

  一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,一切都完了。唯一可以做就是用最快的效率备份你的数据,清理硬盘,然后重新安装操作系统。无论如何,一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。

  你能信任你的ps命令吗?

  找出root kit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个 诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只有大约12kB的大小。

  另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台 Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
...
头像
xiooli
帖子: 6956
注册时间: 2007-11-19 21:51
来自: 成都
联系:

Re: 判断Linux系统是否被黑的方法

#2

帖子 xiooli » 2008-12-03 20:49

我的ps咋有78k呢? :em06
头像
qiang_liu8183
论坛版主
帖子: 10699
注册时间: 2006-09-10 22:36
系统: Arch Debian
来自: 北京

Re: 判断Linux系统是否被黑的方法

#3

帖子 qiang_liu8183 » 2008-12-04 0:51

代码: 全选

Console ~ $ ll /bin/ps
-r-xr-xr-x 1 root root 68084 08-01 18:32 /bin/ps
看破、放下、自在、随缘、念佛
真诚、清净、平等、正觉、慈悲
头像
thefour
帖子: 429
注册时间: 2008-03-05 12:31
来自: 示爱须唱山歌

Re: 判断Linux系统是否被黑的方法

#4

帖子 thefour » 2008-12-04 2:25

少用别人的脚本。。。。 :em06
六十学裁缝,晚否......
头像
eexpress
帖子: 58428
注册时间: 2005-08-14 21:55
来自: 长沙

Re: 判断Linux系统是否被黑的方法

#5

帖子 eexpress » 2008-12-04 9:01

一旦比黑,别指望软件可以通过一种规则来发现。
别幼稚了。
● 鸣学
头像
caoczlq
帖子: 1233
注册时间: 2008-08-22 11:30
来自: ヨイツ
联系:

Re: 判断Linux系统是否被黑的方法

#6

帖子 caoczlq » 2008-12-04 11:59

我的ps是63.8k
:em06
回复