通過(guò)這個(gè)輸出可以檢查是否有可疑或者不熟悉的用戶登錄�,同時(shí)還可以根據(jù)用戶名以及用戶登錄的源地址和它們正在運(yùn)行的進(jìn)程來(lái)判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發(fā)現(xiàn)可疑用戶,就要馬上將其鎖定�����,例如上面執(zhí)行“w”命令后發(fā)現(xiàn)nobody用戶應(yīng)該是個(gè)可疑用戶(因?yàn)閚obody默認(rèn)情況下是沒(méi)有登錄權(quán)限的)�����,于是首先鎖定此用戶,執(zhí)行如下操作:
[root@server ~]# passwd -l nobody
鎖定之后�����,有可能此用戶還處于登錄狀態(tài)�,于是還要將此用戶踢下線���,根據(jù)上面“w”命令的輸出,即可獲得此用戶登錄進(jìn)行的pid值�,操作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經(jīng)無(wú)法登錄了���。
3.通過(guò)last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統(tǒng)的日志�����,可以用來(lái)查找非授權(quán)用戶的登錄事件�,而last命令的輸出結(jié)果來(lái)源于/var/log/wtmp文件�����,稍有經(jīng)驗(yàn)的入侵者都會(huì)刪掉/var/log/wtmp以清除自己行蹤�����,但是還是會(huì)露出蛛絲馬跡在此文件中的。
三�����、查看系統(tǒng)日志
查看系統(tǒng)日志是查找攻擊源最好的方法�����,可查的系統(tǒng)日志有/var/log/messages��、/var/log/secure等�,這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài),還可以查看每個(gè)用戶目錄下的.bash_history文件�����,特別是/root目錄下的.bash_history文件����,這個(gè)文件中記錄著用戶執(zhí)行的所有歷史命令。
四���、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程
檢查可疑進(jìn)程的命令很多�����,例如ps�、top等,但是有時(shí)候只知道進(jìn)程的名稱無(wú)法得知路徑�,此時(shí)可以通過(guò)如下命令查看:
首先通過(guò)pidof命令可以查找正在運(yùn)行的進(jìn)程PID,例如要查找sshd進(jìn)程的PID����,執(zhí)行如下命令:
然后進(jìn)入內(nèi)存目錄,查看對(duì)應(yīng)PID目錄下exe文件的信息:
這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑�。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過(guò)這種方式基本可以找到任何進(jìn)程的完整執(zhí)行信息�,此外還有很多類似的命令可以幫助系統(tǒng)運(yùn)維人員查找可疑進(jìn)程���。例如�����,可以通過(guò)指定端口或者tcp�����、udp協(xié)議找到進(jìn)程PID����,進(jìn)而找到相關(guān)進(jìn)程:
在有些時(shí)候,攻擊者的程序隱藏很深�����,例如rootkits后門程序����,在這種情況下ps、top��、netstat等命令也可能已經(jīng)被替換����,如果再通過(guò)系統(tǒng)自身的命令去檢查可疑進(jìn)程就變得毫不可信,此時(shí)����,就需要借助于第三方工具來(lái)檢查系統(tǒng)可疑程序,例如前面介紹過(guò)的chkrootkit�、RKHunter等工具,通過(guò)這些工具可以很方便的發(fā)現(xiàn)系統(tǒng)被替換或篡改的程序�。
五、檢查文件系統(tǒng)的完好性
檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡(jiǎn)單�、最直接的方法,例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同,以驗(yàn)證文件是否被替換�,但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來(lái)完成驗(yàn)證����,操作如下:
對(duì)于輸出中每個(gè)標(biāo)記的含義介紹如下:
S 表示文件長(zhǎng)度發(fā)生了變化
M 表示文件的訪問(wèn)權(quán)限或文件類型發(fā)生了變化
5 表示MD5校驗(yàn)和發(fā)生了變化
D 表示設(shè)備節(jié)點(diǎn)的屬性發(fā)生了變化
L 表示文件的符號(hào)鏈接發(fā)生了變化
U 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的owner發(fā)生了變化
G 表示文件/子目錄/設(shè)備節(jié)點(diǎn)的group發(fā)生了變化
T 表示文件最后一次的修改時(shí)間發(fā)生了變化
如果在輸出結(jié)果中有“M”標(biāo)記出現(xiàn),那么對(duì)應(yīng)的文件可能已經(jīng)遭到篡改或替換���,此時(shí)可以通過(guò)卸載這個(gè)rpm包重新安裝來(lái)清除受攻擊的文件����。
不過(guò)這個(gè)命令有個(gè)局限性����,那就是只能檢查通過(guò)rpm包方式安裝的所有文件,對(duì)于通過(guò)非rpm包方式安裝的文件就無(wú)能為力了�����。同時(shí)�����,如果rpm工具也遭到替換���,就不能通過(guò)這個(gè)方法了�,此時(shí)可以從正常的系統(tǒng)上復(fù)制一個(gè)rpm工具進(jìn)行檢測(cè)���。
對(duì)文件系統(tǒng)的檢查也可以通過(guò)chkrootkit���、RKHunter這兩個(gè)工具來(lái)完成,關(guān)于chkrootkit���、RKHunter工具的使用��,下次將展開(kāi)介紹。
