Unix系统入侵检查主要内容.docVIP

Unix系统检查主要事项 Unix系统的入侵检测方法主要包括：检查系统运行的进程，检查系统开放的端口，鉴定未授权的用户账号或组，检查相关程序（命令）、文件的权限，检查所有相关的日志，寻找异常或隐藏文件等。可以采用手工和工具检查相结合的方式进行。 一、手工检查与审计 下面就各种检查项目做一下详细说明。 1、检查端口与网络连接 Netstat可以显示 TCP 和 UDP 所有打开的端口。 Lsof列举所有运行进程及其所打开的文件描述符，其中包括常规文件， 库文件，目录，UNIX流，套接字等。 Arp可以显示系统当前IP-MAC对应表，而且能手动设置静态IP-MAC对应表。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。以太网中的arp欺骗能改变数据流向，可用来窃听用户数据，其症状表现为异常的IP-MAC对应表。 方法： Netstat –an列出所有打开的端口及连接状态 Lsof –i只显示网络套接字的进程 Arp –a列出当前系统arp表，重点检查网关MAC地址 木马端口列表： /main.htm /threat/threat-ports.htm http://www.chebucto.ns.ca/~rakerman/port-table.html 2、检查账户安全 服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组和默认SHELL。有些黑客入侵后常常将添加他们自己的账号，或者将那些系统内置的用户修改了权限，从而方便他们以后再次入侵。 方法： 查看/etc/passwd中是否有新增加的帐户名 查看/etc/passwd中除root外是否还有uid、gid为0的帐户 检查/etc/passwd中如nobody、lp等系统内置帐户是否设置了可登录的默认SHELL 如设置过限制帐户登录的策略应检查这些策略是否已经被修改或删除。如/etc/default/login文件CONSOLE=/dev/console是否被注释掉。 3、查找恶意进程 可以通过以下工具和方法检查系统运行的进程，找出异常的进程。 方法： Ps –ef会列出系统正在运行的所有进程 Solaris常见进程说明： sched 系统进程调度 init init进程 pageout 内存换页进程 fsflush 文件系统同步进程 sac sac监控进程，和ttymon一起提供终端登陆功能 dtlogin CDE登陆进程 cron crontab任务调度守护进程 sysevent 将内核级和用户级系统事件通知给适当的应用程序.事件可以包括硬件 和软件状态更改,错误和故障 picld 负责维护及控制客户及内插模块对PICL(Platform Information and Control Library)信息的访问 rpcbind rpc监控总进程，相当于portmat syslogd syslog系统日志守护进程 inetd internet服务超级守护进程 nscd 名字服务缓存进程 statd rpc.statd，NFS文件服务状态同步子进程 htt htt输入法进程 lockd rpc.lockd，NFS文件服务锁状态子进程 powerd 电源管理服务，类似PC的APM smcboot Solaris WBEM SMC server utmpd utmp登陆用户监控进程 snmpXdmi snmp服务子进程 htt_serv 输入法服务器 dmispd DMI Service Provider daemon auditd BSM审计守护进程 dtgreet CDE服务子进程 sshd ssh服务器 fbconsol framebuffer显示输出驱动 ttymon tty监控服务，和sac一起提供终端登陆功能，类似于其他Unix中的getty mibiisa snmp服务子进程 Xsun Solaris X服务器 devfsadm /dev (devfs)同步进程 dtlogin CDE登录守护进程 4、检查自启动项 攻击者在获得系统控制权后通常会将其后门、木马等程序设置为自动运行，以达到长期控制的目的。常见的自启动项有/etc/inittab、/etc下的RC脚本、/etc/inetd.conf、/var/spool/cron/crontabs 或 /var/spool/cron 目录中的 crontab 文件 方法： 检查/etc/inittab中有无新增的项，