如何检查系统入侵

2008-04-09 04:36:20来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

安全2000像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等.
   (1)记帐
  UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系 统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括 UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程 是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命 令中指定文件名:

  acctcom /usr/adm/pacct? /usr/adm/pacct

  要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登 录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系 统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统 启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell), cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.

  由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数据.

  (2)其它检查命令

  *du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的 磁盘块数.可用于检查用户对文件系统的使用情况.

  *df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的 使用和管理. *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程, 同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进 程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).

  *who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用 户的登录时间,登录终端.

  *su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操 作信息,则表明了可能有人企图破译root口令.

  *login:在一些系统中,login程序记录了无效的登录企图(若本系统的 login程序不做这项工作而系统中有login源程序,则应修改login). 每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表 明可能有人企图通过猜测登录名和口令,非法进入系统.这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯, 就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人 窃密.
   (3)安全检查程序的问题

  关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防 诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或 大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管 理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有 find命令指定搜索哪种文件的功能.

  如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而 用户用su命令时,除非用参数-,否则su不读用户的.profile. 有三种方法可寻找久未登录的帐户:

  UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最 后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全 肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新 loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可 能就被清除了.

  . /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是 否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的 好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效, 而且这一方法仅在口令的最大有效期(只有几周)才是准确的.

  系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp, 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序, 并且时间准确,缺点是要自己写程序.

  以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登录户头的最后登录时间如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者 将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐 文件,使系统管理员不能发现破坏者干了些什么.

  (4)系统泄密后怎么办?

  发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对 肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于"破坏安全"的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复 到原来的状态.

  如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root 且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他 造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和 SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:

  关系统,然后重新引导,不要进入多用户方式,进入单用户方式.

安装含有本系统原始UNIX版本的带和软盘.
   将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.
  将暂存目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和,不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比 较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如 果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有命令.

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:微软证实IE7存在地址栏漏洞

下一篇:病毒专攻Vista语音识别漏洞