首页 > 范文大全

检测Unix是否被入侵的快捷方法

时间：2023年01月12日

来源：redcurrantpuff

编辑：本站小编

收藏本文

下载本文

下面小编给大家带来检测Unix是否被入侵的快捷方法，本文共6篇，希望能帮助到大家!本文原稿由网友“redcurrantpuff”提供。

篇1：检测Unix是否被入侵的快捷方法

鉴别Unix系统是否被入侵，需要较高的技巧，当然也有一些非常简单的方法，

简单的方法就是检查系统日志、进程表和文件系统，查看是否存在一些“奇怪的”消息、进程或者文件。例如：

两个运行的inetd进程（应该只有一个）；

.ssh以root的EUID运行而不是以root的UID运行；

在“/”下的RPC服务的核心文件；

新的setuid/setgid程序；

大小迅速增长的文件；

df和du的结果不相近；

perfmeter/top/BMC Patrol/SNMP（以上都是一些监控的程序）的监视器与vmstat/ps的结果不符，远高于平时的网络流量；

dev下的普通文件和目录条目，尤其是看起来名称比较正常的；

/tc/passwd和/etc/shadow，下是否有不正常或者没有密码的账号存在；

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名，这里所指的奇怪是指名字类似于“…”的（3个点），

如果您发现这样的名称，但实际上却是个目录的话，那么你的系统十有八九存在问题。

也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合适的新条目存在。

另外，还要密切注意那些隐蔽的信任关系。例如，NFS上主机之间是怎么挂载的？哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目？哪台主机有.netrc文件？该主机与谁共享网段？您应该继续对它做一番调查。通常攻击者不止破坏一台主机，他们从一台主机跳到另一台，隐藏好踪迹，并开放尽可能多的后门。

如果您有任何可疑的发现，那么请联系您的本地计算机紧急事件响应小组，来帮助检查网络的其他主机，并恢复受损站点。

篇2：网站被入侵后需做的检测

来源：PConline

先分析入侵者都做了些什么！

记得为了方便在他机器上装了RADMIN.登陆了一下.密码也不对了.看来是有人上去了.而且入侵者还拿到了系统管理员权限

跑到机房.拿出ERD COMMANDER.改了密码.重启，进入系统后第一步升级帐户.多了一个hud$的用户.administrators组.删除，再看guest用户虽然禁用状态,但是说明内容不对了.仔细一看.administrators组.同样删除，接着看了下其他用户.组别都正常.把远程连接权限都去掉后.帐号方面算是处理完了.

接着看看各个硬盘C:\\下面有如下文件

sqlhello.exe

sqlhello2.exe

result.txt

1.bat

2.bat

编辑了下1.bat,里面内容都是扫描整个网段.看来是有人拿这台机器当跳板了.移动所有文件到其他目录.

接着审计应用程序，考虑这台机器的用途和环境

是WINDOWS+IIS+SERV-U

先看SERV-U审计用户.看看有没有别人加system权限的FTP用户.查看下来没有.

执行权限也没有.锁定目录状态都是对的.

看了下没有记录日志.

然后看了版本.

5.0.0.4...ft了.早让他升级.就是不升.看来是被入侵的第一步.先升级到6.0.0.2

FTP这里应该没什么问题了.

IIS方面的分析：

开着日志记录.太好了.等会儿分析日志

继续看.其他都是默认配置.先在应用程序映射里把所有的文件类型都删除干净只保留.ASP和.ASA

审计文件权限

设定各个分区和目录的权限.

接着审查木马情况.由于系统不能重装.所以只能加固原有已经被入侵的系统，考虑到这个入侵者添加的用户的情况以及在C根目录放文件还有日志都是开放等等情况，估计水平不会很高.也不会植入自己编写的木马.

使用了朋友thrkdev编的ATE来查了一遍.看来没有已知木马.

接着查找WEBSHELL，考虑到入侵者水平.最多也就用用海阳.而且最多也就把部分版权信息去掉，搜索所有内容包含lcx的.ASP文件.

果然.4个文件.

.asp

ok.asp

dvbbs7.asp

aki.asp

看来分析还是比较准确的.除了dvbbs7.asp有点创意，移动这些文件到其他目录.供以后审计用.

然后是网络部分

TCP过滤未开.IPSEC未指派.

先把NETBIOS关掉.然后TCP内只允许20,21,80,3389

考虑到反向木马的可能性

在IPSEC内打开本机SPORT 20,21,80,3389到外部任意端口.其他从内部往外的一律屏蔽.

系统萃取.把一些无关服务与软件关闭或者卸载.

对系统进行补丁升级.还好补丁还是没有缺.把自动UPDATE设置到自动安装.

最后一步是分析日志.看看有没有遗漏的地方，系统本身的日志都被关闭了.看来入侵者还是比较小心.

打开该审计的部分.在关键目录.比如系统目录加上了审计.使得所有对C:\\WINNT的创建文件的成功与失败都记录在日志内.

由于前面提到SERV-U日志原来并未记录.只能打开IIS日志查找对于找到的4个WEBSHELL的访问情况，找到了访问的IP.回查.来自一个固定IP地址，浏览了一下.得到信息后给对方管理员去邮件通知他们做好安全工作，

其实还有一些部分内容应该做而限于有些条件没有做的.

1.更换系统默认用户用户名

因为兄弟他们对计算机不熟.就没有更换.不过要求他们使用更加强壮的密码了

2.对于加密的webshell的查找

上述内容中对于WEBSHELL只查找了一种.并且只针对明文编码的页面程序进行了查找,应该是可以加入对于编码后ASP WEBSHELL的搜索.

还有搜索内容应该由简单的LCX扩展到wscript.shell等更加广泛与匹配的关键词的查找

3.对于木马的查找

由于预估入侵者水平不高.所以这项只依靠杀木马软件进行了搜索.如果有时间的话.还是应该手工进行查找

4.对页面程序进行评估

也有由于时间关系.没时间对原有网站程序进行检查.

5.入侵测试

由于入侵检测很可能被入侵者的思路带着走而忽略了其他薄弱环节.

所以检测完毕应该最好进行完全的测试.保证其他路径是同样强壮的.

篇3：UNIX下入侵检测的方法

因为Unix系统经常承当着关键任务，所以它经常是入侵者攻击的首选目标，于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么，在没有其它工具帮助的情况下，如何去判断系统当前的安全性？如何去发现入侵呢？下面给大家介绍一些常用到的检查方法

以Linux和Solaris为例：

1、检查系统密码文件

首先从明显的入手，查看一下passwd文件，ls Cl /etc/passwd查看文件修改的日期。

输入命令

awk Cf:’$3==0 {print $1}’ /etc/passwd

来检查一下passwd文件中有哪些特权用户，系统中uid为0的用户都会被显示出来。顺便再检查一下系统里有没有空口令帐户：

awk Cf:

‘length($2)==0 {print $1}’ /etc/shadow

2、查看一下进程，看看有没有奇怪的进程

重点查看进程：ps Caef | grep inetd。inetd是Unix系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd Cs /tmp/.xxx之类的进程，着重看inetd Cs后面的内容。在正常情况下，Linux系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而Solaris系统中也仅仅是inetd Cs，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。

输入ps Caef 查看输出信息，尤其注意有没有以./xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill C9 pid 开杀死该进程，然后再运行ps Caef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 Cprint，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，Unix下隐藏进程有的时候通过替换ps文件来做，检测这种方法涉及到检查文件完整性，一会我们再讨论这种方法。接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。

3、检查系统守护进程

检查/etc/inetd.conf文件，输入：

cat /etc/inetd.conf | grep Cv “^#”

输出的信息就是你这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。

4、检查网络连接和监听端口

输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。

输入netstat Crn，查看本机的路由、网关设置是否正确。

输入 ifconfig Ca，查看网卡设置。

5、检查系统日志

命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。

在Linux下输入

ls Cal /var/log

在Solaris下输入

ls Cal /var/adm

检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。

6、检查系统中的core文件

通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的rpc攻击就是通过这种方式，

这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core Cexec ls Cl {} \\; 依据core所在的目录、查询core文件来判断是否有入侵行为。

7、检查系统文件完整性

检查文件的完整性有多种方法，通常我们通过输入ls Cl 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在Linux下可以用rpm Cv `rpm Cqf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。在Linux下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man rpm来获得更多的格式。

Unix系统中，/bin/login是被入侵者经常替换作为后门的文件，接下来谈一下login后门：

Unix里，login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用”strings”命令搜索login程序以寻找文本信息。

许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用md5校验和检测这种后门。Unix系统中有md5sum命令，输入md5sum 文件名检查该文件的md5签名。它的使用格式如下

md5sum Cb 使用二进制方式阅读文件；

md5sum Cc 逆向检查md5签名；

md5sum Ct 使用文本方式阅读文件

在前面提到过守护进程，对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较，举个简单的例子，如果你开放了telnet服务，守护进程配置文件中就会有一句：

telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，检查该文件的完整性，入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。

Linux系统中的/etc/crontab也是经常被入侵者利用的一个文件，检查该文件的完整性，可以直接cat /etc/crontab，仔细阅读该文件有没有被入侵者利用来做其他的事情。

不替换login等文件而直接使用进程来启动后门的方法有一个缺陷，即系统一旦重新启动，这个进程就被杀死了，所以得让这个后门在系统启动的时候也启动起来。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序。说到这里，另外提一下，如果在某一目录下发现有属性为这样的文件：-rwsr-xr-x 1 root root xxx .sh，这个表明任何用户进来以后运行这个文件都可以获得一个rootshell，这就是setuid文件。运行 find Cperm 4000 Cprint对此类文件进行全局查找，然后删除这样的文件。

8、检查内核级后门

如果你的系统被人安装了这种后门，通常都是比较麻烦的，首先，检查系统加载的模块，在Linux系统下使用lsmod命令，在Solaris系统下使用modinfo命令来查看。这里需要说明的是，一般默认安装的Linux加载的模块都比较少，通常就是网卡的驱动；而Solaris下就很多，没别的办法，只有一条一条地去分析。对内核进行加固后，应禁止插入或删除模块，从而保护系统的安全，否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_module和delete_module()来达到上述目的。另外，对这个内核进行加固模块时应尽早进行，以防系统调用已经被入侵者替换。如果系统被加载了后门模块，但是在模块列表/proc/module里又看不到它们。出现这种情况，需要仔细查找/proc目录，根据查找到的文件和经验来判断被隐藏和伪装的进程,当然目录也可能不是隐藏的。

手工的入侵检测行为对于系统安全来说只是治标而不治本，多半还是依靠管理员的技巧和经验来增强系统的安全性，没有，也不可能形成真正的安全体系，虽然好过没有，可以检测和追踪到某些入侵行为，但如果碰上同样精通系统的入侵者就很难抓住踪迹了。搭建真正的安全体系需要配合使用入侵检测系统，一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系，有效判断和切断入侵行为，真正保护主机、资料。

篇4：服务器被入侵后的补救方法

攻击者入侵某个系统，总是由某个主要目的所驱使的，例如炫耀技术，得到企业机密数据，破坏企业正常的业务流程等等，有时也有可能在入侵后，攻击者的攻击行为，由某种目的变成了另一种目的，例如，本来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些机密数据。

而攻击者入侵系统的目的不同，使用的攻击方法也会不同，所造成的影响范围和损失也就不会相同。因此，在处理不同的系统入侵事件时，就应当对症下药，不同的系统入侵类型，应当以不同的处理方法来解决，这样，才有可能做到有的放矢，达到最佳的处理效果。

一、以炫耀技术目的的系统入侵恢复

有一部分攻击者入侵系统的目的，只是为了向同行或其他人炫耀其高超的网络技术，或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件，攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统，有时还会在互联网上的某个论坛中公布他的入侵成果，例如攻击者入侵的是一台 WEB服务器，他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统，或者会通过安装后门的方式，使被入侵的系统成他的肉鸡，然后公然出售或在某些论坛上公布，以宣告自己已经入侵了某系统。也就是说，我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。

对于以修改服务内容为目的的系统入侵活动，可以不需要停机就可改完成系统恢复工作。

1.应当采用的处理方式

(1)、建立被入侵系统当前完整系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

(2)、立即通过备份恢复被修改的网页。

(3)、在Windows系统下，通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。

(4)、通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁，我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式，例如社会工程方式入侵系统的，而检查系统中不存在新的漏洞，那么就可以不必做这一个步骤，而必需对社会工程攻击实施的对象进行了解和培训。

(5)、修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。

(6)、最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击，

如果攻击者攻击系统是为了控制系统成为肉鸡，那么，他们为了能够长期控制系统，就会在系统中安装相应的后门程序。同时，为了防止被系统用户或管理员发现，攻击者就会千方百计地隐藏他在系统中的操作痕迹，以及隐藏他所安装的后门。

因而，我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制，如果确定系统已经成为了攻击者的肉鸡，那么就应当按下列方式来进行入侵恢复：

(1)、立即分析系统被入侵的具体时间，目前造成的影响范围和严重程度，然后将被入侵系统建立一个快照，保存当前受损状况，以更事后分析和留作证据。

(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况，如果发现存在非法的网络连接，就立即将它们全部断开，并在防火墙中添加对此IP或端口的禁用规则。

(3)、通过Windows任务管理器，来检查是否有非法的进程或服务在运行，并且立即结束找到的所有非法进程。但是，一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中，此时，我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块，然后将它们全部结束任务。

可是，有时我们并不能通过这些方式终止某些后门程序的进程，那么，我们就只能暂停业务，转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行，就只能对业务数据做备份后，恢复系统到某个安全的时间段，再恢复业务数据。

这样，就会造成业务中断事件，因此，在处理时速度应当尽量快，以减少由于业务中断造成的影响和损失。有时，我们还应当检测系统服务中是否存在非法注册的后门服务，这可以通过打开“控制面板”―“管理工具”中的“服务”来检查，将找到的非法服务全部禁用。

(4)、在寻找后门进程和服务时，应当将找到的进程和服务名称全部记录下来，然后在系统注册表和系统分区中搜索这些文件，将找到的与此后门相关的所有数据全部删除。还应将“开始菜单”―“所有程序”―“启动”菜单项中的内容全部删除。

(5)、分析系统日志，了解攻击者是通过什么途径入侵系统的，以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来，如果他是利用系统或应用程序漏洞入侵系统的，就应当找到相应的漏洞补丁来修复这个漏洞。

如果目前没有这个漏洞的相关补丁，就应当使用其它安全手段，例如通过防火墙来阻止某些IP地址的网络连接的方式，来暂时防范通过这些漏洞的入侵攻击，并且要不断关注这个漏洞的最新状态，出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁，我们可以通过相应的软件来自动化进行。

(6)、在完成系统修复工作后，还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测，以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户，以及被攻击做修改了相应的安装设置，例如修改了防火墙过滤规则，IDS/IPS的检测灵敏度，启用被攻击者禁用了的服务和安全软件。

篇5：检测php网站是否已经被攻破的方法WEB安全

看是否有文件上传操作(POST方法)，

IPREMOVED - - [01/Mar/:06:16:48 -0600] “POST/uploads/monthly_10_/view.php HTTP/1.1” 200 36 “-” “Mozilla/5.0” IPREMOVED - - [01/Mar/2013:06:12:58 -0600] “POST/public/style_images/master/profile/blog.php HTTP/1.1” 200 36 “-” “Mozilla/5.0”

nginx默认记录的日志格式为：

access_log logs/access.log

或

access_log logs/access.logcombined;

nginx默认记录日志的位置为:

nginx安装目录/log/