如何查看Linux服务器是否被黑root kit
时间:2010-11-22 来源:pk-feiyang
俗称“脚本小鬼”家伙是属于那种很糟糕黑客基本上他们中许多和大多数人都是如此没有窍门技巧可以这样说如果你安装了所有正确补丁拥有经过测试防火墙 并且在多个级别都激活了先进入侵检测系统那么只有在种情况下你才会被黑那就是你太懒了以至没去做该做事情例如安装BIND最新补丁
不留神而被黑确实让人感到为难更严重是某些脚本小鬼还会下载些众所周知“root kits”或者流行刺探工具这些都占用了你CPU存储器数据和带宽这些坏人是从那里开始着手呢?这就要从root kit开始说起
个root kit其实就是个软件Software包黑客利用它来提供给自己对你机器具有root级别访问权限旦这个黑客能够以root身份访问你机器切都完了唯可以 做就是用最快效率备份你数据清理硬盘然后重新安装操作系统无论如何旦你机器被某人接管了要想恢复并不是件轻而易举事情
你能信任你ps命令吗?
找出root kit首个窍门是运行ps命令有可能对你来说切都看来很正常图示是个ps命令输出例子真正问题是“真切都正常吗?”黑客常用个诡计就是把ps命令替换掉而 这个替换上ps将不会显示那些正在你机器上运行非法为了测试个应该检查你ps文件大小它通常位于 /bin/ps在我们Linux机器里它大概有60kB我最近遇到个被root kit替换ps这个东西只有大约12kB大小
另个明显骗局是把root命令历史记录文件链接到/dev/null这个命令历史记录文件是用来跟踪和记录个用户在登录上台Linux机器后所用过命令黑客们把你历史纪录文件重定向到/dev/null目在于使你不能看到他们曾经输入过命令
你可以通过在 shell提示符下敲入history来访问你历史记录文件假如你发现自己正在使用history命令而它并没有出现在的前使用过命令列表里你要看看 你~/.bash_history 文件假如这个文件是空就执行个ls -l ~/.bash_history命令在你执行了上述命令后你将看到类似以下输出:
-rw——- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者你可能会看到类似以下输出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
假如你看到是第 2种就表明这个 .bash_history 文件已经被重定向到/dev/null这是个致命信息现在就立即把你机器从Internet上断掉尽可能备份你数据并且开始重新安装系统
寻找未知用户账号
在你打算对你Linux机器做次检测时候首先检查是否有未知用户账号无疑是明智在下次你登录到你Linux机器时敲入以下命令:
grep :x:0: /etc/passwd
只有行我再强调遍在个标准Linux安装里grep命令应该只返回行类似以下:
root:x:0:0:root:/root:/bin/bash
假如在敲入的前grep命令后你系统返回结果不止行那可能就有问题了应该只有个用户UID为0而如果grep命令返回结果超过行那就表示不止个用户
认真来说虽然对于发现黑客行为以上都是些很好基本思路方法但这些窍门技巧本身并不能构成足够安全性而且其深度和广度和在文章头提到入侵检测系统比起来也差得远