九乡新闻网贬谪:如何发现入侵者
来源:百度文库 编辑:九乡新闻网 时间:2024/05/09 11:03:11
如何发现入侵者
系统被入侵而全无知晓恐怕是最糟糕的事情了下面就将以 UNIX 系统为例告诉你如何在分析网络异常现象的基础上确定你网络系统是否有入侵者。
异常的访问日志
入侵者在入侵并控制系统之前,往往会用扫描工具或者手动扫描的方法来探测系统,以获取更多的信息。而这种扫描行为都会被系统服务日志记录下来。比方:一个 IP 连续多次呈现在系统的各种服务日志中,并试图越漏洞;又如一个 IP 连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集某个服务的版本信息。
注意! UNIX 操作系统中如果有人访问了系统不必要的服务或者有严重安全隐患的服务比方: finger rpc 或者在 Telnet FTP POP3 等服务日志中连续出现了大量的连续性失败登录记录,则很有可能是入侵者在尝试猜测系统的密码。这些都是攻击的前兆!
网络流量增大
如果发现 服务器 访问流量突然间增大了许多,这就预示着你系统有可能已经被入侵者控制,并被入侵用来扫描和攻击其他服务器。事实证明,许多入侵者都是利用中介主机对远程主机进行扫描并找出安全漏洞,然后再进行攻击的而这些行为都会造成网络流量突然增大。
非法访问
如果你发现某个用户试图访问控制并修改 /etc/shadow 系统日志和系统配置文件,那么很有可能这个用户已经被入侵者控制,并且试图夺取更高的权限。
正常服务终止
比如系统的日志服务突然奇怪的停掉,或你 IDS 顺序突然终止,这都暗示着入侵者试图要停掉这些有威胁的服务,以避免在系统日志上留下 “ 痕迹 ”
可疑的进程或非法服务的呈现
系统中任何可疑的进程都应该仔细检查,比如以 root 启动的 http 服务,或系统中本来关闭的服务又重新被启动。这些可疑进程和服务都有可能是入侵者启动的攻击进程、后门进程或 Sniffer 进程。
系统文件或用户
入侵者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击顺序之类的 软件 以方便下次进入。比如对于 UNIX 而言,入侵者或修改 syslog.conf 文件以去掉 secur 条目来躲避 login 后门的审计,或修改 hosts.deni hosts.allow 来解除 tcpwrapper 对入侵者 IP 过滤;甚至增加一个条目在 rc.d 里面,以便系统启动的时候同时启动后门顺序。所以被非法修改的系统文件或莫明其妙地增加了一个用户等一些现象都意味着你系统很可能被入侵者控制了
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入netuser,查看计算机上有些什么用户,然后再使用“netuser+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“netuser用户名/del”来删掉这个用户吧!
联网状态下的客户端。对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下
可疑的数据
系统如果发现了命名为诸如空格、点点加空格、 ..^M 点点 ctrl+M ... 点点点)等可疑的目录,就需要留心了因为入侵者经常在这样的目录中使用和隐藏文件,如有些目录里面可能会(特别是 /tmp 目录中)出现扫描器产生的临时文件