(转载)

一个笑话里说一个小偷进入到一家，偷光了屋子里所有的东西，但是却用一个相同的拷贝代替了偷走的东西。但是在攻击环境下，这却是可能发生的。当一个攻击者利用一个漏洞非法入侵进入到你的。当你使用ps命令列出中的所有的进程时，却看不到什么异常的证据。你查看你的password，一切也是那么的正常。到底发生了什么事情呢？当进入到你的以后，第一步要做的事情就是取代上某些特定的：如netstat命令等。当你使用netstat -a命令时，就不会显示攻击者存在的信息。当然攻击者将替代所有的可能泄露其存在的。一般来说包括：

/bin/ps
/bin/netstat
/usr/bin/top
由于这些已经被取代。所以简单的利用ls命令查看这些是看不出什么破绽的。有若干种方法你可以验证的完整性。如果你安装的是Red Hat, Caldera, TurboLinux或任何使用RPM的。你可以利用RPM来验证的完整性：

首先你应该查明你的那些你需要查看的来自哪个软件包，使用rpm命令你可以查明某个属于某个包：
# rpm -qf /bin/netstat
net-tools-1.51-3
然后，可以扫描整个rpm包来查看那些发生了改变。对没有发生改变的包使用该命令将没有任何输出信息，如下所示：
# rpm -V net-tools
#
将netstat的5.2版本的二进制可执行替换为6.0的版本以后再使用该命令的结果为：
.......T /bin/netstat
这说明/bin/netstat/已经被修改。若我使用rpm -qf测试ps和top命令可以得到其属于包procps，然后在验证包procps的完整性。下面是一个被黑的站点的结果：

# rpm -qf /bin/ps
procps.2.0.2-2

# rpm -V procps
SM5..UGT /bin/ps
SM5..UGT /usr/bin/top
攻击者入侵到中，并且用自己的ps及top命令替代了我们中的命令。从而使管理员看不到其运行的进程，也许是一个sniffer来监听所有的用户所有进出的数据并找寻到密码信息。

下面是一个小的script来扫描你的所有的rpm库，并检查所有的包是否被篡改。但是应该注意的是并不是所有该scripts报告的问题都是说明该被攻击者破坏。例如你的apssword一般肯定和你安装时是不同的：

#!/bin/bash
#
# Run through rpm database and report inconsistencies
#
for rpmlist in `rpm -qa` # These quotes are back quotes
do
echo " ----- $rpmlist -----" ; rpm -V $rpmlist
done > /tmp/rpmverify.out

当你运行该scripts时，输出被定向到/tmp/rpmverify.out你可以使用less命令查看该。但是由于文本如：/etc/passwd, /etc/inetd.conf等很可能显示为被修改过。但是你如何知道这些是管理员自己修改的还是入侵者修改的呢方法是在你确保你的是干净的，没有被攻击者入侵时，你为这些创建指纹信息。在你怀疑你的被入侵时使用这些这些指纹信息来判定是否被入侵。创建的指纹信息是通过命令md5sum 来实现的：

# md5sum /etc/passwd
d8439475fac2ea638cbad4fd6ca4bc22 /etc/passwd

# md5sum /bin/ps
6d16efee5baecce7a6db7d1e1a088813 /bin/ps

# md5sum /bin/netsat
b7dda3abd9a1429b23fd8687ad3dd551 /bin/netstat

这些数据是我的上的的指纹信息。不同的上的的 指纹信息可能是不同的，你应该是使用md5sum来计算自己的指纹信息。下面是一些你应该创建指纹信息的；

/usr/bin/passwd
/sbin/portmap
/bin/login
/bin/ls
/usr/bin/top
/etc/inetd.conf