香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
我司获香港虚拟主机排行榜十…
香港虚拟主机金秋促销活动正…
百度整治给SEO带来了新的希望
百度同时收录网站带WWW和不带…
百度对原创内容的判断标准 如…
如何建设网站 网站建设三步曲
如何挑选老域名 老域名有那些…
域名常见故障与分析
虚拟主机基本参数介绍
交换链接的技巧 谈一下选择交…
您现在的位置: 江南数联 >> 帮助中心 >> 服务器帮助 >> 正文

Linux服务器被黑客攻击的检测

  作者:admin    来源:本站原创    点击次数:29     更新时间:2012-10-13 7:58:31  
     
 
关注石头有礼
 
 

Linux服务器被黑客攻击的检测

LINUX服务器由于使用率并不高所以黑客技术也不是我们想像的那么牛,很多黑客只是使用
俗称“脚本小鬼”的软件来黑你的服务器,实际上是属于那种很低级的黑客,因为基本上他们中的许多和大多数人都是如此的没有技巧。可以这样说,如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测系统,那么只有在一种情况下你才会被黑,那就是,你太懒了以至没去做该做的事情,例如,安装BIND的最新补丁。

最近经常有客户说自己的LINUX系统的服务器或VPS也被黑,经过我们了解大多都是由于自己在使用中没有按要求进行更新和打好相关安全补丁,一不小心黑客被黑了,被黑后确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的“root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。

  root kit我想用过LINUX系统的人都知道,一个root kit其实就是一个软件包,黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器,那你就完了,了可以通过ROOT控制你的机器,安装自己的软件,甚至重装系统

  那遇到这样的问题怎么办呢,你能信任你的ps命令吗?

  所有我们不得不费劲心思的找出root kit,而最有效的窍门是运行ps命令。有可能对你来说一切都看来很正常也很简单。如图是一个ps命令输出的例子。真正的问题是,“真的一切都正常吗?”黑客常用的一个诡计就是把ps命令替换掉,而这个替换过的的ps将不会让你看到和显示那些正在你的服务器上运行的非法黑客程序。为了测试个,应该检查你的ps文件的大小,它通常位于 /bin/ps。在我们的Linux机器里它大概有60kB。如果容量大小想差太远就有可能被人替换了,所以一定要注意,我们就见过一个被黑了的BIN/PS他的容量大小只有10K左右.

  另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。

  你可以通过在 shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令,而它并没有出现在之前使用过的命令列表里,你要看一看你的~/.bash_history 文件。假如这个文件是空的,就执行一个ls -l ~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出:

  -rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

  又或者,你可能会看到类似以下的输出:

  lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

  假如你看到的是第二种,就表明这个 .bash_history 文件已经被重定向到/dev/null。这是一个致命的信息,现在就立即把你的机器从Internet上断掉,尽可能备份你的数据,并且开始重新安装系统。

  寻找未知的用户账号

  在你打算对你的Linux机器做一次检测的时候,首先检查是否有未知的用户账号无疑是明智的。在下一次你登录到你的Linux机器时,敲入以下的命令:

  grep :x:0: /etc/passwd

  只有一行,我再强调一遍,在一个标准的Linux安装里,grep命令应该只返回一行,类似以下:

  root:x:0:0:root:/root:/bin/bash

  假如在敲入之前的grep命令后你的系统返回的结果不止一行,那可能就有问题了。应该只有一个用户的UID为0,而如果grep命令的返回结果超过一行,那就表示不止一个用户。
好了通过以上的方法我想你一定能找到你想关注的东西,记住LX系统最重要的就是更新补丁,加强管理,实际上管理得好就不会遇到上面的问题

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:Linux服务器被黑客攻击的检测出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱