 个笑话里说一个小偷进入到一家,偷光了屋子里任何的东西,但是却用一个相同的拷贝代替了偷走的东西。但是在网络攻击环境下,这却是可能发生的。当一个攻击者利用一个系统漏洞非法入侵进入到您的系统。当您使用ps命令列出系统中的任何的进程时,却看不到什么异常的证据。您查看您的password文档,一切也是那么的正常。到底发生了什么事情呢?当系统进入到您的系统以后,第一步要做的事情就是取代系统上某些特定的文档:如netstat命令等。当您使用netstat -a命令时,就不会显示系统攻击者存在的信息。当然攻击者将替代任何的可能泄露其存在的文档。一般来说包括: /bin/ps /bin/netstat /usr/bin/top 由于这些文档已被取代。所以简单的利用ls命令查看这些文档是看不出什么破绽的。有若干种方法您能够验证系统文档的完整性。假如您安装的是Red Hat, Caldera, TurboLinux或任何使用RPM的系统。您能够利用RPM来验证系统文档的完整性: 首先您应该查明您的那些您需要查看的文档来自哪个软件包,使用rpm命令您能够查明某个文档属于某个包: # rpm -qf /bin/netstat net-tools-1.51-3 然后,能够扫描整个rpm包来查看那些发生了改变。对没有发生改变的包使用该命令将没有任何输出信息,如下所示: # rpm -V net-tools # 将netstat的5.2版本的二进制可执行文档替换为6.0的版本以后再使用该命令的结果为: .......T /bin/netstat 这说明/bin/netstat/文档已被修改。若我使用rpm -qf测试ps和top命令能够得到其属于包procps,然后在验证包procps的完整性。下面是个被黑的站点的结果: # rpm -qf /bin/ps procps.2.0.2-2 # rpm -V procps SM5..UGT /bin/ps SM5..UGT /usr/bin/top 攻击者入侵到系统中,并且用自己的ps及top命令替代了我们系统中的命令。从而使管理员看不到其运行的进程,也许是个sniffer来监听任何的用户任何进出网络的数据并找寻到密码信息。 下面是个小的script来扫描您系统的任何的rpm库,并检查任何的包是否被篡改。但是应该注意的是并不是任何该scripts报告的问题都是说明该系统文档被攻击者破坏。例如您的apssword文档一般肯定和您安装系统时是不同的: #!/bin/bash # # Run through rpm database and report inconsistencies # for rpmlist in `rpm -qa` # These quotes are back quotes do echo " ----- $rpmlist -----" ; rpm -V $rpmlist done > /tmp/rpmverify.out 当您运行该scripts时,输出被定向到文档/tmp/rpmverify.out您能够使用less命令查看该文档。但是由于文本文档如:/etc/passwd, /etc/inetd.conf等很可能显示为被修改过。但是您怎样知道这些是管理员自己修改的还是入侵者修改的呢方法是在您确保您的系统是干净的,没有被攻击者入侵时,您为这些系统文档创建指纹信息。在您怀疑您的系统被入侵时使用这些这些指纹信息来判定系统是否被入侵。创建文档的指纹信息是通过命令md5sum 来实现的: # md5sum /etc/passwd d8439475fac2ea638cbad4fd6ca4bc22 /etc/passwd # md5sum /bin/ps 6d16efee5baecce7a6db7d1e1a088813 /bin/ps # md5sum /bin/netsat b7dda3abd9a1429b23fd8687ad3dd551 /bin/netstat 这些数据是我的系统上的文档的指纹信息。不同的系统上的文档的 指纹信息可能是不同的,您应该是使用md5sum来计算自己系统文档的指纹信息。下面是一些您应该创建指纹信息的文档; /usr/bin/passwd /sbin/portmap /bin/login /bin/ls /usr/bin/top /etc/inetd.conf /etc/services |
喜欢本文,那就收藏到: |
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus(); "添加到POCO网摘"){kind=logo}
Rss Feed
