Unix平台计算机的检测
4.即使你没有执行什么非正常操作,本地反病毒软件却突然报告说,检测到了后门或特洛伊木马。虽然黑客攻击可能非常复杂并且不断翻新,许多攻击还是要依赖于已知的特洛伊木马或后门来获取对一个受损系统的完全访问权。如果你的本地反病毒组件正检测和报告这种恶意代码,这就表明你的系统有可能可以从外部访问。
对Unix平台计算机的检测
Unix平台计算机遭受攻击的症状有这些:
1.在/tmp文件夹内的可疑的命名文件。Unix系统中的许多漏洞利用都依赖在/tmp标准文件夹中创建临时文件,在系统遭受攻击后这很难被检测出来。对于已知的一些感染Unix系统的蠕虫也是这样,蠕虫会将其自己编译到/tmp文件夹中,并恶意运用之。
2.修改系统中的一些程序,如'login', 'telnet', 'ftp', 'finger'等,或者是一些更加复杂的进程,如'sshd', 'ftpd'等等。在突破进入一个系统之后,一个黑客通常会将一个后门植入到某个可以直接访问互联网的进程中,试图确保其访问的安全,或者修改可用于与其它系统联系起来的标准系统实用程序。被修改的程序通常成为一个rootkit的部分,并且通常情况下它们会破坏一些简单的检查。在所有的情况下,为每一个系统实用程序维持一个检查和(checksum)的数据库是一个好注意,并且定期地在单一用户模式中,将其与系统进行离线验证。
3.修改/etc/passwd、 /etc/shadow,或者修改/etc文件夹中的所有其它系统文件。有时,黑客攻击会在/etc/passwd中增加一个新用户,它可以在日后远程登录到系统中。你可以在口令文件中查看可疑的用户名,并且监视所有的增加项,特别是在一个多用户的系统中更要这样。
4.一些可疑的服务被添加到/etc/services中。在一个Unix系统中打开一个后门有时也就是增加一两行代码。这是通过修改/etc/services以及/etc/ined.conf而实现的。你需要密切地监视这两个文件中的任何添加项,因为这会指明一个后门与一个未用的或可疑的端口联结起来。
网友评论