入侵检测方法
http://www.rdsk.net
本站内容多为站长原作,部分整理自网上,欢迎参考,转载请注明出处。
入侵检测方法(1)
因为UNIX系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、
保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何
去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检查方法:
- 检查系统进程 #ps -aef or #ps aux
- 检查网络连接和监听端口 #netstat -an
- 检查系统日志,日志文件的属性和前后连续性
- 大量的端口扫描、帐号扫描,往往预示攻击的出现
- 发现named或者syslogd等进程莫名其妙地掉了下来
- 检查系统中的core文件。#find / -name core -exec ls -l {} \; 根目录下有syslogd, 或者ftpd等产生的不明core文件往往也暗示了攻击或者入侵的出现
- 检查系统中的suid程序 #find / -perm -004000 -exec ls -l {} \;
- 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l {} \;
- 检查所有的.rhosts文件 #find / -name .rhosts -exec ls -l {} \;
- 检查所有的.forward文件
- 检查/etc/hosts.equiv文件的内容
- 检查系统中的帐号 #more /etc/passwd; #awk -F: '$3==0 {print $1}' /etc/passwd
- 检查系统帐号的口令设置
- 空口令帐号 #awk -F: 'length($2)==0 {print $1}' /etc/shadow
- 对比初始安装系统,确认系统缺省帐号的口令正确设置
- 检查脆弱口令 #./john -single /etc/shadow
- 检查是否有本来口令域为NP的系统帐号的口令域变为13个BASE64可显示字符
- 检查帐号口令shell设置的正确性。空表示sh。管理员应该对自己系统中拥有正常shell的帐号非常清楚。
- 使用初始签名文件做比较,检查关键执行程序的完整性,如/bin/login, /bin/who, /bin/netstat, etc
- 某主机的一个服务端口上出现拥塞现象,此时应该检查绑定在该端口上的服务类型。淹没式和denial of service 式的攻击通常是欺骗攻击的先兆(或是一部分)。
- 日志中有人企图利用老的sendmail就是比较明显的攻击的信息,即有人在端口25上发出了两三个命令,这些命令可能是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形式发送给入侵者,另外show mount命令有可能是有人在收集计算机的信息。等等。
# 经验是最不可替代的。
的确,经验对于系统管理员来说太重要了,机器前面操作的经验是多少书本知识也无法代替的。
如果想在网络安全方面成为一个高手,那么准备好自己的精力吧。
http://pay500.com/study/s12478.htm 
