Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1029461
  • 博文数量: 179
  • 博客积分: 10080
  • 博客等级: 上将
  • 技术积分: 2580
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-10 09:26
文章分类

全部博文(179)

文章存档

2015年(1)

2014年(1)

2012年(1)

2011年(3)

2010年(14)

2009年(11)

2008年(10)

2007年(42)

2006年(96)

我的朋友

分类: LINUX

2007-03-03 07:30:17

我入侵你 !你怎么查到我? (zt)
1、检查系统密码文件 :查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。输入命令 awk –F:’$3==0 {print }’ /etc/passwd来检查一下passwd文件中有哪些特权用户。顺便再检查一下系统里有没有空口令帐户:awk –F: ‘length()==0 {print }’ /etc/shadow
2、查看有没有奇怪的进程:ps –aef | grep inetd 。尤其注意有没有以. x开头的进程。
3、检查系统守护进程:输入:cat /etc/inetd.conf | grep –v “^#”
4、检查网络连接和监听端口:分别用输入netstat -an,netstat –rn, ifconfig –a等来检查。
5、检查系统日志:晕,被楼主做手脚啦,此项去掉。
6、检查系统中的core文件:输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性:rpm –V `rpm –qf 文件名` 来查询,哈哈,方法是简单些,但有时也有效。
8、检查内核级后门:首先,检查系统加载的模块,根据不同的系统,使用lsmod命令或modinfo命令来查看。此法好累。
阅读(2043) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~