LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 2174|回复: 2

(zt)入侵检测方法------(David Elson)

[复制链接]
发表于 2004-5-20 18:13:22 | 显示全部楼层 |阅读模式
入侵检测方法

因为UNIX系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、
保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何
去判断系统当前的安全性?如何去发现入侵呢?下面给大家介绍一些常用到的检查方法:

? 检查系统进程 #ps -aef or #ps aux
? 检查网络连接和监听端口 #netstat -an
? 检查系统日志,日志文件的属性和前后连续性
? 大量的端口扫描、帐号扫描,往往预示攻击的出现
?发现named或者syslogd等进程莫名其妙地掉了下来
? 检查系统中的core文件。#find / -name core -exec ls -l {} \; 根目录下有syslogd,
或者ftpd等产生的不明core文件往往也暗示了攻击或者入侵的出现
? 检查系统中的suid程序 #find / -perm -004000 -exec ls -l {} \;
? 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l {} \;
? 检查所有的 \;
? 检查所有的.forward文件
?检查/etc/hosts.equiv文件的内容
? 检查系统中的帐号 #more /etc/passwd; #awk -F: '$3==0 {print $1}' /etc/passwd
? 检查系统帐号的口令设置
2 空口令帐号 #awk -F: 'length($2)==0 {print $1}' /etc/shadow
2 对比初始安装系统,确认系统缺省帐号的口令正确设置
2 检查脆弱口令 #./john -single /etc/shadow
2 检查是否有本来口令域为NP的系统帐号的口令域变为13个BASE64可显示字符
? 检查帐号口令shell设置的正确性。空表示sh。管理员应该对自己系统中
拥有正常shell的帐号非常清楚。
? 使用初始签名文件做比较,检查关键执行程序的完整性,如/bin/login, /bin/who,
/bin/netstat, etc
? 某主机的一个服务端口上出现拥塞现象,此时应该检查绑定在该端口上的服务类型。淹没式
和denial of service 式的攻击通常是欺骗攻击的先兆(或是一部分)。
? 日志中有人企图利用老的sendmail就是比较明显的攻击的信息,即有人在端口25上发出
了两三个命令,这些命令可能是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形式发
送给入侵者,另外show mount命令有可能是有人在收集计算机的信息。等等。

# 经验是最不可替代的。

的确,经验对于系统管理员来说太重要了,机器前面操作的经验是多少书本知识也无法代替的。
如果想在网络安全方面成为一个高手,那么准备好自己的精力吧。
发表于 2004-5-20 18:17:04 | 显示全部楼层
最好些个脚本来检查!
感谢斑竹给个目标!!
 楼主| 发表于 2004-5-21 08:38:29 | 显示全部楼层
说的就是没有其他工具的情况下,这也只是简单的检查,如果要详细的检查,真的需要专门的脚本和工具的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表