<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>

首頁: 測試技術　軟件測試工具　開源軟件測試技術　軟件測試開發技術　軟件質量保證　軟件測試時代服務　軟件測試專題與軟件測試期刊　軟件測試工程師職業發展　軟件測試業界新聞　軟件測試時代活動發布　

暫時沒有公告

首頁:軟件測試網 >> 軟件測試技術 >> Unix系統 >> Linux >> 查看資訊

字號: 小中大 | 推薦給好友上一篇 | 下一篇

Linux環境下發現并阻止系統攻擊（3）

發布: 2007-7-04 12:06 | 作者: admin | 來源: 　網友評論 | 查看: 9次 | 進入軟件測試論壇討論

三、一個笑話里說一個小偷進入到一家，偷光了屋子里所有的東西，但是卻用一個相同的東西代替了偷走的東西。但是在網絡世界里，這卻是可能發生的。一個攻擊者利用一個系統漏洞非法入侵進入到你的系統后，當你使用ps命令列出系統中的所有的進程時，卻看不到什么異常的證據。你查看你的password文件，一切也是那么的正常。到底發生了什么事情呢？當系統進入到你的系統以后，第一步要做的事情就是取代系統上某些特定的文件：如netstat命令等。當你使用netstat-a命令時，就不會顯示系統攻擊者存在的信息。當然攻擊者將替代所有的可能泄露其存在的文件在linux環境下一個有名的這樣的工具包名字是rootkit。通過在任何一個搜索引擎搜索關鍵字rootkit可以得到數以百計的結果。這些工具一般來說包括：

ps netstat top .....

由于這些經過文件已經被取代。所以簡單的利用ls命令查看這些文件是看不出什么破綻的。有若干種方法你可以驗證系統文件的完整性。如果你安裝的是Red Hat, Caldera,TurboLinux或任何使用RPM的系統。你可以利用RPM來驗證系統文件的完整性：首先你應該查明你的那些你需要查看的文件來自哪個軟件包，使用rpm命令你可以查明某個文件屬于某個包： # rpm -qf /bin/netstat net-tools-1.51-3 然后，可以掃描

整個rpm包來查看那些發生了改變。對沒有發生改變的包使用該命令將沒有任何輸出信息，如下所示：

# rpm -V net-tools

將netstat的5.2版本的二進制可執行文件替換為6.0的版本以后再使用該命令的結果為：

.......T /bin/netstat

這說明/bin/netstat/文件已經被修改。若我使用rpm-qf測試ps和top命令可以得到其屬于包procps，然后再驗證包procps的完整性。下面是一個被"黑"的站點的結果：

# rpm -qf /bin/ps procps.2.0.2-2 # rpm -V procps SM5..UGT /bin/ps ..UGT /usr/bin/top

攻擊者入侵到系統中，并且用自己的ps及top命令替代了我們系統中的命令。從而使管理員看不到其運行的進程，也許是一個sniffer來監聽所有的用戶所有進出網絡的數據并找尋到密碼信息。

下面是一個小的script來掃描你系統的所有的rpm庫，并檢查所有的包是否被篡改。但是應該注意的是并不是所有該scripts

報告的問題都是說明該系統文件被攻擊者破壞。例如你的password文件一般肯定和你安裝系統時是不同的：

#!/bin/bash # # Run through rpm database and report inconsistencies # for rpmlist in `rpm -qa` # These quotes are back quotes do echo " ----- $rpmlist -----" ; rpm -V $rpmlist done > /tmp/rpmverify.out

當你運行該scripts時，輸出被定向到文件/tmp/rpmverify.out你可以使用less命令查看該文件。但是由于文本文

如：/etc/passwd, /etc/inetd.conf等很可能顯示為被修改過。但是你如何知道這些是管理員自己修改的還是入侵者修改的呢？方法是：

在你確保你的系統是干凈的，沒有被攻擊者入侵時，你為這些系統文件創建指紋信息。在你懷疑你的系統被入侵時使用這些這些指紋信息來判定系統是否被入侵。創建文件的指紋信息是通過命令md5sum 來實現的：

# md5sum /etc/passwd d8439475fac2ea638cbad4fd6ca4bc22 /etc/passwd # md5sum /bin/ps 6d16efee5baecce7a6db7d1e1a088813 /bin/ps # md5sum /bin/netsat b7dda3abd9a1429b23fd8687ad3dd551 /bin/netstat

這些數據是我的系統上的文件的指紋信息。不同的系統上的文件的指紋信息一般是不同的，你應該是使用md5sum來計算自己系統文件的指紋信息。下面是一些你應該創建指紋信息的文件；

/usr/bin/passwd /sbin/portmap /bin/login /bin/ls /usr/bin/top /etc/inetd.conf /etc/services通過指紋信息你可以決定是否有系統文件被篡改。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

軟件測試論壇

領測軟件測試網最新更新

軟件測試技術相關文章

軟件測試培訓信息

最新軟件測試技術專題

最新領測軟件測試網新聞

軟件測試技術文章排行榜

編輯推薦
周排行
月排行

軟件測試技術分類最新內容

關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
版權所有(C) 2003－2010 TestAge（領測軟件測試網）|領測國際科技（北京）有限公司|軟件測試工程師培訓網 All Rights Reserved
北京市海淀區中關村南大街9號北京理工科技大廈1402室京ICP備2023014753號-2
技術支持和業務聯系：info@testage.com.cn 電話：010-51297073

軟件測試 | 領測國際 | ISTQB | ISTQB官網 | TMMi | TMMi認證 | 國際軟件測試工程師認證 | 領測軟件測試網

老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

<ruby id="5koa6"></ruby>

<ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>