找出rootkit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个诡计就是把ps命令替换掉,而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个,应该检查你的ps文件的大小,它通常位于/bin/ps。在我们的Linux操作系统机器里它大概有60kB。我最近遇到一个被rootkit替换的ps程序,这个东西只有大约12kB的大小。
另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。
你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history文件。假如这个文件是空的,就执行一个ls-l~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者,你可能会看到类似以下的输出:lrwxrwxrwx 1 jd jd 9 Oct 1019:40/home/jd/.bash_history -> /dev/null
假如你看到的是第二种,就表明这个。bash_history文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。
解决Linux操作系统服务器被黑,需要寻找未知的用户账号:
在你打算对你的Linux操作系统机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux服务器时,敲入以下的命令:
grep :x:0: /etc/passwd
只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:
root:x:0:0:root:/root:/bin/bash
假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。认真来说,虽然对于发现黑客行为,以上都是一些很好的基本方法。但这些技巧本身并不能构成足够的安全性,而且其深度和广度和在文章头提到的入侵检测系统比起来也差得远。
分享到:
相关推荐
**Linux `ps` 命令详解** 在Linux操作系统中,`ps`(Process Status)命令是用于查看系统当前进程状态的工具。它能够显示进程的实时信息,帮助用户了解系统的运行情况,进行进程管理。`ps`命令历史悠久,功能强大,...
通过学习`procps`源码,不仅可以增强对`ps`和`kill`命令的理解,还能深入学习到Linux内核与用户空间交互的方式,以及如何利用/proc文件系统获取系统信息。这对于系统开发、运维和性能优化等领域都有很大的帮助。
Linux ps 命令详解 Linux ps 命令是一种强大的进程查看命令,可以确定有哪些进程正在运行、进程是否结束、进程是否僵死、哪些进程占用了过多的资源等等。ps 命令最经常使用的是用于监控后台进程的工作情况,因为...
`ps aux`是Linux系统中一个非常常用的命令,用于查看系统中当前运行的进程状态。这个命令可以帮助系统管理员和开发者了解系统的运行情况,监控资源使用,查找问题,以及调试程序。下面将详细介绍`ps aux`命令及其...
Linux系统中的PS命令是一个非常强大的工具,用于报告当前系统进程的状态。PS命令能够显示出一个快照,包括当前系统中所有正在运行的进程的详细信息。PS命令常用于监控系统、诊断问题以及查看进程状态。以下是对PS...
在Linux操作系统中,掌握一些基础的系统管理命令是至关重要的,比如`top`, `ps`, `kill`, `free`和`vmstat`等。这些命令提供了监控系统性能、查看进程状态、管理进程以及分析内存和虚拟内存使用情况的能力。本源码包...
Linux命令可以分为多种类别,包括文件和目录操作命令、系统管理命令、网络管理命令、安全管理命令等。下面我们将对Linux命令进行分类总结,并对每个命令进行详细的解释和示例。 文件和目录操作命令 1. touch命令...
Linux ps 命令、kill 命令及 kill 函数概述 Linux 操作系统中,ps 命令和 kill 命令是两个非常重要的命令,ps 命令用于显示当前系统中的所有进程信息,而 kill 命令用于结束某个进程。下面将详细介绍 ps 命令和 ...
"通过SSH访问远程Linux服务器的四个安全策略" 在远程访问Linux服务器时,安全性是一个非常重要的方面。下面四个安全策略可以帮助您更好地保护您的Linux服务器。 Linux SSH 安全策略一:关闭无关端口 在 Linux ...
本篇文章将详细讲解Linux的基本命令,包括登录和退出、文件命令、目录和层次命令、查找命令、目录和文件安全性、磁盘存储命令、进程命令以及联机帮助命令。 **1. Linux的登录和退出** - **启动Linux系统**:Linux...
第四部分是Linux下开源数据库安全以及Linux下新闻组服务器构建、网络钓鱼的防范、Linux无线网络构建及其安全策略、使用Linux安全审计以及使用SeLinux保护Linux服务器的方法;第五部分是1个附录,介绍Linux服务器应急...
Linux操作系统采用命令行界面(CLI),因此掌握常用Linux命令对于使用Linux系统来说是基础且至关重要的。下面详细解释一些常见的Linux命令及其用法: 1. 目录结构相关命令: - /:Linux文件系统的根目录,所有目录...
《linux系统命令及shell脚本实践指南》由浅入深、全面、系统地介绍了Linux系统的基础命令和Shell脚本的开发。作为一本面向Linux入门用户的书籍,本书力求语言通俗易懂,用例简单明了,便于读者阅读领会。同时,全书...
要学好linux,那么命令的重要性不言而喻,而此书从最基本命令开始介绍,让你真正的明白linux里的命令! 文件目录: Linux常用命令全集.CHM Linux vi命令大全.txt liunx命令大全.txt liunx 下如何用命令行设置网络?...
在Linux操作系统中,`top`和`ps`是两个非常重要的命令行工具,它们用于监控系统中的进程状态和性能。这两个工具的源代码分析能够帮助我们深入理解Linux内核的工作原理,以及进程管理的相关机制。 `top`命令是实时...
本文将详细解读《Linux命令大全完整版.pdf》中所收录的各类命令,以帮助读者更好地理解和运用Linux命令。 1. Linux系统管理命令 系统管理命令是Linux系统中最重要的命令类别之一,涵盖了用户管理、进程控制、系统...
在 Linux 操作系统中,常见的进程管理命令有 ps、top、lsof 等。这些命令可以用来监视进程、查看进程信息、查看占用文件的进程等。 * ps 命令:ps 命令是最常用的监视进程的命令,通过 ps aux 命令我们可以看到当前...
学习 Linux 的第一步:当然是从 Linux 命令 入手: 查看 Linux 命令帮助信息 - 关键词:help, whatis, info, which, whereis, man Linux 文件目录管理 - 关键词:cd, ls, pwd, mkdir, rmdir, tree, touch, ln, ...
从这里开始学习Linux命令,本课程让你更清楚地了解和掌握它,在Linux中命令是讲究大小写的,所以请管好你的Caps Lock键。 红联Linux论坛是致力于Linux技术讨论的站点,目前网站收录的文章及教程基本能满足不同...