俗称“脚本小鬼”的家伙 是归于那种很糟糕的黑客,由于根本上他们中的许多和大多数人都是如此的没有技巧。能够这样说,假设你装置了一切正确的补丁,具有经过测验的防火墙,并且在 多个等级都激活了先进的侵略检测体系,那么只要在一种情况下你才会被黑,那便是,你太懒了以致没去做该做的工作,例如,装置BIND的最新补丁。
一不留神而被黑的确让人感到尴尬,更严峻的是某些脚本小鬼还会下载一些众所周知的“root kits”或许盛行的探听东西,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开端着手的呢?这就要从root kit开端说起。
一个root kit其实便是一个软件包,黑客利用它来提供给自己对你的机器具有root等级的拜访权限。一旦这个黑客能够以root的身份拜访你的机器,一切都完了。 仅有能够做便是用最快的功率备份你的数据,整理硬盘,然后重新装置操作体系。无论如何,一旦你的机器被或人接管了要想康复并不是一件垂手可得的工作。
你能信赖你的ps指令吗?
找出root kit的首个诀窍是运转ps指令。有或许对你来说一切都看来很正常。图示是一个ps指令输出的比如。真实的问题是,“真的一切都正常吗?”黑客常用的一个 狡计便是把ps指令替换掉,而这个替换上的ps将不会显现那些正在你的机器上运转的不合法程序。为了测验个,应该查看你的ps文件的巨细,它一般坐落 /bin/ps。在咱们的Linux机器里它大概有60kB。我最近遇到一个被root kit替换的ps程序,这个东西只要大约12kB的巨细。
另一个显着的圈套是把root的指令历史记载文件链接到/dev/null。这个指令历史记载文件是用来盯梢和记载一个用户在登录上一台Linux机器后所用过的指令的。黑客们把你的历史纪录文件重定向到/dev/null的意图在于使你不能看到他们从前输入过的指令。
你能够经过在shell提示符下敲入history来拜访你的历史记载文件。假设你发现自己 正在运用history指令,而它并没有出现在之前运用过的指令列表里,你要看一看你的~/.bash_history 文件。假设这个文件是空的,就履行一个ls -l ~/.bash_history指令。在你履行了上述的指令后你将看到相似以下的输出:
-rw——- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或许,你或许会看到相似以下的输出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
假设你看到的是第二种,就标明这个 .bash_history 文件现已被重定向到/dev/null。这是一个丧命的信息,现在就立即把你的机器从Internet上断掉,尽或许备份你的数据,并且开端重新装置体系。
寻觅不知道的用户账号
在你计划对你的Linux机器做一次检测的时分,首要查看是否有不知道的用户账号无疑是正确的。鄙人一次你登录到你的Linux机器时,敲入以下的指令:
grep :x:0: /etc/passwd
只要一行,我再着重一遍,在一个规范的Linux装置里,grep指令应该只回来一行,相似以下:
root:x:0:0:root:/root:/bin/bash
假设在敲入之前的grep指令后你的体系回来的成果不止一行,那或许就有问题了。应该只要一个用户的UID为0,而假设grep指令的回来成果超越一行,那就表明不止一个用户。
仔细来说,尽管关于发现黑客行为,以上都是一些很好的根本办法。但这些技巧自身并不能构成满足的安全性,并且其深度和广度和在文章头说到的侵略检测体系比起来也差得远。
我的主张是,假设你置疑你的体系真的出了问题,打电话给一个Linux的安全专家,参阅他的定见。究竟Linux的安全不是一会儿就能够弄好的。
