如何发现入侵?
如果的系统已经被入侵者控制,或者入侵者已经获得了一些权限,那么系统总会有一些症状反映出来
,有些症状也往往暗示着有人正在打你系统的主意,你的系统将被入侵。
1.网络流量增大
如果一台服务器突然间流量大了许多,这就预示着你的系统有可能已经被入侵者控制,并用来扫描和
攻击其它的服务器。事实证明,流量突然过大不容忽视,许多入侵者都用中间主机下载并提供扫描软件,
对远程主机扫描、分
析和测试漏洞,进而造成网络流量突然增大。
2. 异常的访问日志
入侵者在入侵并控制系统之前,往往会先用自动或者手动扫描这个系统,以获取更多的信息,了解并
入侵您的系统。
系统被扫描的征兆:
1.一个IP连续多次出现在系统的各种服务日志中,并试图访问越权访问管理程序,这很有可能是入侵
者在试图寻找并尝试漏洞。
2.一个IP连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集服务的版本信息。
3.有人访问了系统不必要的服务,或者系统不存在的但是有严重安全隐患的漏洞。
比如:finger、rpc.statd。
4.有人telnet、ftp、pop3、su等服务日志连续出现了大量的连续性失败登入日志,着很有可能是入
侵者在尝试猜测系统的密码。
3.非法访问
如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件,那么很有可能这
个用户已经被入侵者控制,并且试图夺取更高的权限。
4.正常服务终止
比如系统的日志服务突然奇怪的停掉了,你的IDS程序突然终止,这暗示着入侵者试图停掉这些有威
胁的服务,在系统上留下空日志来逃避管理员的追查。
5.可疑的进程,非法服务
系统中任何可疑的进程都应该仔细检查,比如以root启动的httpd服务,系统中本来关闭的服务重新
被启动。这些可疑进程和服务,很有可能是入侵者启动的攻击进程、后门进程、sniffer进程。
6.系统文件或用户数据被更改
入侵者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类,比如修改
syslog.conf文件去掉secure的条目来躲避login后门的审计;修改hosts.deny、hosts.allow来解除
tcpwrapper对入侵者IP的过滤;增加一个条目在rc.d里面,以便系统启动的时候,同时启动后门程序;增
加了一个用户、一个suid程序都意味着你的系统已经被入侵着控制了。
7.可疑的数据
系统中出现了诸如" "(空格空格)、".. "(点点空格)、"..^M"(点点ctrl+M)、"..."(点点点
)这样可疑的目录,入侵者经常在这样的目录中使用和隐藏文件.系统命令被修改(比如安装了lrk,ps输
出有变化),有些目录里面(特别是/tmp)出现了常用扫描器的产生的临时文件,攻击程序,磁盘空间突
然变小,主页被修改,用户数据被修改。
8.系统被sniffer
系统入侵发生时,入侵者经常在UNIX系统上安装一个网络监视程序,通常称为sniffer,用于捕获用
户账号和密码信息。是否有进程把任何网络设备置成混杂模式是判断sniffer存在的证据,如果任一网络
设备处于混杂模式,那系统中就有sniffer程序在运行。传统的sniffer不能在交换环境成功使用,交换环
境通过mac地置发送数据,这就产生了各种ARC欺骗工具,sniffer和snoop永远都是同时存在的。
9.worm攻击
近来Linux病毒也开始盛行,worm自动侦察攻击并复制自己,worm使受害服务器以几何级数增加,安
全危害不容忽视,worm以攻击、安置后门、自我复制几部分组成,受害主机都有着相同的症状,如果发现
你的系统已经被worm攻击,请立即断开网络连接,以减少受害主机的增多。
愿与致力于服务器网站安全的从业人员进行交流.QQ:1210842393
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; 360SE)