Unix系统入侵防护要点.ppt

内容提要 寻找入侵线索 掌握系统状态 系统检查 后门检测 恢复系统以及应用 寻找入侵线索 保护现场 入侵时间 异常文件 异常进程 寻找入侵线索/保护现场 制作磁盘快照或备份 # dd if=/dev/sda of=/dev/sdb 记录所作的全部操作 寻找入侵线索/判断入侵时间 检查最近被修改过的文件 find / -mtime -3 -print 使用tripwire检查 /usr/local/bin/tripwire –init创建基线检查 /usr/local/bin/tripwire进行检查 寻找入侵线索/异常文件 检查/etc/passwd和/etc/shadow ls –l /etc/passwd；检查文件修改时间 logins -d；logins -p awk -F: ‘$3==0 {print $1}’ /etc/passwd；检查uid等于0的帐户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow；检查空口令用户 检查root suid程序 find / -type f \( -perm -4000 -o -perm -2000 \) –print；对照基线 寻找入侵线索/异常进程 检查进程 ps –aef | grep inetd；重点检查inetd ps –aef；检查./ 内容提要 寻找入侵线索 掌握系统状态 系统检查 后门检测 恢复系统以及应用 掌握系统状态 获取系统版本信息 获取系统补丁信息 获取应用版本信息 系统漏洞检索 掌握系统状态 获取系统版本信息 Uname -a 获取系统补丁信息 Showrev -p 获取应用版本信息 telnet; Su - oracle; sqlplus / AS SYSDBA‘; select * from v$version; Su – informix;onstat - 系统漏洞检索 / 内容提要 寻找入侵线索 掌握系统状态 系统检查 后门检测 恢复系统以及应用 系统检查 检查用户登录 检查系统进程列表 检查网卡状态 检查开放端口 检查/tmp文件系统 检查特殊文件 系统检查续 检查启动文件 检查计划任务 检查系统日志 系统检查/检查用户登录 使用w检查当前登录用户 使用last检查用户登录记录 Last -30 系统检查/检查系统进程列表 Solaris中使用ps –eaf FreeBSD和Linux中则使用ps –aux 系统检查/检查网卡状态 Ifconfig -a Lanscan；ifconfig lan0 系统检查/检查开放端口 netstat -an lsof –I :25 系统检查/检查 /tmp /tmp默认权限777，攻击者通常会把木马、脚本存放在这里 Ls –ld /tmp可以检查/tmp是否设置sticky 使用chmod +t /tmp设置sticky 系统检查/检查特殊文件 系统检查/检查启动文件 检查inetd.conf cat /etc/inetd.conf |grep -v ‘^#’ ；检查随启动加载的服务 系统检查/检查计划任务 检查cron 目录/var/spool/cron下的root文件 /usr/spool/cron下的root文件；有人喜欢在半夜启动木马运行一个bindshell，然后过几个小时又把开放的端口关闭。 /etc/rc*是开机自动运行脚本，也经常被攻击者利用。 用户启动文件，如login,profile, .bashrc, .cshrc, .exrc可能被插入特洛伊语句，在被入侵的事件中就曾被利用过。 系统检查/检查系统日志-1 系统检查/检查系统日志-2 系统检查/检查系统日志-2 Su命令日志 记录了每一次执行su命令的动作：时间日期，成功与否，终端设备，用户ID.有些UNIX具有单独的su日志，有些则保存在syslog中。 Cron日志 记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里。 Shell历史记录 less ~/.bash_history 如果.bash_history被链接到/dev/null文件，或者环境变量中的$HISTFILE,$HISTFILESIZE两个变量值为0，那么肯定有人非法活动过了 内容提要 寻找入侵线索 掌握系统状态 系统检查 后门检测 恢复系统以及应用 后门检测/帐号后门rhosts后门 帐号后门 检查 /etc/passwd 查看 UID=0 查看 shell 字段 rhosts++ 后门 检查 /etc/hosts.equiv 查看每个用户的 $HOME/.rhosts 查看是否增加了“信任”主机 后门检测/二进制木马后门 二进制木马后门 将可执行文件替换