Unix系统入侵防护2.ppt

内容提要 寻找入侵线索 掌握系统状态 系统检查 后门检测 恢复系统以及应用 寻找入侵线索 保护现场 入侵时间 异常文件 异常进程 寻找入侵线索/保护现场 制作磁盘快照或备份 # dd if=/dev/sda of=/dev/sdb 记录所作的全部操作 寻找入侵线索/判断入侵时间 检查最近被修改过的文件 find / -mtime -3 -print 使用tripwire检查 /usr/local/bin/tripwire –init创建基线检查 /usr/local/bin/tripwire进行检查 寻找入侵线索/异常文件 检查/etc/passwd和/etc/shadow ls –l /etc/passwd；检查文件修改时间 logins -d；logins -p awk -F: ‘$3==0 {print $1}’ /etc/passwd；检查uid等于0的帐户 awk -F: ‘length($2)==0 {print $1}’ /etc/shadow；检查空口令用户 检查root suid程序 find / -type f \( -perm -4000 -o -perm -2000 \) –print；对照基线 寻找入侵线索/异常进程 检查进程 ps –aef | grep inetd；重点检查inetd ps –aef；检查./ 内容提要 寻找入侵线索 掌握系统状态