分享
 
 
 

Linux环境下发现并阻止系统攻击 (2)

王朝网站推广·作者佚名  2011-12-03
窄屏简体版  字體: |||超大  

二、保护你的系统最简单有效的的方法是TCPwrapper.Linux系统在跟踪对你的机器的访问记录方面作了大量的工作。wrapper拒绝对你的系统的某些访问的同时,系统在一些LOG文件中增加了一些信息内容。在/var/log目录下,一般可以看到如下文件:

boot.log cron cron.1 cron.2 dmesg httpd

lastlog lastlog.1 maillog maillog.1

maillog.2

messages messages.1 netconf.log

netconf.log.1

netconf.log.2 secure secure.1 secure.2

secure.3 secure.4 spooler spooler.1 spooler.2

uUCp wtmp wtmp.1 xferlog xferlog.1

xferlog.2

可以看到某些LOG文件有1,2等扩展名。这是由于系统运行cron.daily引起的。实际上,cron.daily是在/etc下面的子目录,包含了很多系统自动运行的管理script文件。不需要你参与,这些script实现一些任务的自动化:如轮转log文件使其不会变的过分大。作为管理员你应该熟悉如何通过修改这些script来定时运行程序。当然,现在有很多功能完善的文本模式或图形模式的log文件分析器,自动发现危险的攻击

迹象,然后象管理者发送信件。在http://www.freshmeat.net/ tUCows等可以找到很多这样的工具。

从攻击者的观点而言,他们对你的你服务器上的安全文件最感兴趣。若你关闭外部网络对你的服务器 的访问。你可能会遇到这样的情况:

[root@Linux /]#grep refused /var/log/secure*

Sep 12 07:52:42 netgate in.rlogind[7138]: refused

connect from 2??.?.5?.?42

Sep 12 07:52:52 netgate in.rshd[7139]: refused

connect from 2??.?.5?.?42

Sep 12 07:52:55 netgate in.rexecd[7144]: refused

connect from 2??.?.5?.?42

Sep 12 07:52:59 netgate imapd[7146]: refused connect

from 2??.?.5?.42

Sep 12 07:52:59 netgate in.fingerd[7142]: refused

connect from 2??.?.5?.?42

Sep 12 07:53:00 netgate ipop3d[7143]: refused

connect from 2??.?.5?.?42

Sep 12 07:53:07 netgate in.ftpd[7147]: refused

connect from 2??.?.5?.?42

Sep 12 07:53:10 netgate gn[7145]: refused connect

from 2??.?.5?.?42

Sep 12 07:53:22 netgate in.telnetd[7149]: refused

connect from 2??.?.5?.?42

Sep 12 07:56:34 netgate imapd[7150]: refused connect

from 2??.?.5?.?42

正如你看到的那样,攻击者已经试图连接服务器上的若干个端口。但是由于服务器关闭了inetd启动的

所有服务,所以LOG系统记录下了这些访问拒绝。若在你的机器中没有发现这样的服务拒绝并不能说明你的机

器没有被攻击。maillog文件将保存那些通过服务器被转发的email信息。xferlog保存ftp的log信息等等。

若你希望查看wtmp,你可以使用last命令

# last more fishdUCk ttyp6 nexus Tue Sep 28 16:03 still logged in birdrat ttyp5 speedy Tue Sep 28 15:57 still logged in root tty1 Tue Sep 28 12:54 still logged in 将显示谁什么时候登陆进来,登陆了多长时间等信息。通过查看你可以发现非法登陆者信息。你也可以查看以前的wtmp文件如wtmp.1, 你可以用命令: # last -f /var/log/wtmp.1 more 但是你还需要注意你的log文件的状态信息,如果它特别小 或者大小为0 则说明可能有攻击者进入系统,并且修改了这个文件。为了防止任何用户修改某些文件,如对log文件只允许添加,而不允许删除操作等等: 可以通过使用Linux Intrusion Detection System可以防止攻击者修改LOG文件passWord 文件等。该工具可以在启动lilo时来决定是否允许对某些特定文件的修改。该工具的详细信息可以通过访问 www.soaring-bird.com.cn/oss_proj/lids/index.html获得。系统的所有进程的祖父进程被成称为"init",其进程ID号是1。你可以通过下面的命令,看到init进程信息。 # ps ax grep init 1 ? S 6:03 init 系统在启动时的init进程将会启动"inetd"进程,正如前面提到的该进程实现监听网络请求,监听是通过网 络端口号来实现的。例如你telnet到你的Linux服务器上时,实际上你上请求inetd进程启动进程in.telnetd进程在23端口来处理你的访问请求实现通信。随后,in.telnetd进程启动一个询问你的用户名和密码的进程, 然后你就登陆到机器了。inetd同时监听很多端口来等待访问请求,然后激活完成相关服务的程序。你可以通过查看文件/etc/services来看哪个服务使用哪个端口。从节省资源角度来说,利用一个进程而不是每 种服务对应一个进程是有意义的。当一个攻击者第一次访问你的站点时,他们往往使用成为端口扫描仪的工具,通过该工具攻击者来查看你开放了那些系统服务。Linux上比较出名的一个端口扫描仪是nmap. 可以从http://www.insecure.org/nmap/index.html下载得到该软件,最新的版本甚至有一个图形化界面nmapfe。下面我们就运行nmap看可以得到什么结果: 选项'-sS',指使用TCP SYN, 也就是半连接half-pen扫描, '-O',只同时探测被扫描系统的操作系统o。(利用OS指纹的技术,可以参见http://www.isbase.com/book/showQueryL.ASP?libID=271)攻击者知道了 对方使用的何种操作系统就可以有针对性的寻找该操作系统的常见漏洞

# nmap -sS -O localhost

Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com,

www.insecure.org/nmap/)

Interesting ports on localhost (127.0.0.1):

Port State Protocol Service

21 open tcp ftp

23 open tcp telnet

25 open tcp smtp

53 open tcp domain

79 open tcp finger

80 open tcp http

98 open tcp Linuxconf

111 open tcp sunrpc

113 open tcp auth

139 open tcp netbios-ssn

513 open tcp login

514 open tcp shell

515 open tcp printer

TCP Sequence Prediction: Class=random positive increments

Difficulty=4360068 (Good lUCk!)

Remote operating system guess: Linux 2.1.122 - 2.2.12

Nmap run completed -- 1 IP address (1 host up) scanned in 2

seconds

这些打开的端口就是攻击者入侵点。当你修改过inetd.conf文件以关闭某些服务,从新启动inetd后,你 再用nmap扫描就可以发现被注释掉的服务扫描不到了。

当然,管理员还可以使用一些其他的安全扫描工具如:satan或 Nessus等 来检测自己的系统的安全可靠

性,在攻击者发现其以前更早的发现自己的系统的漏洞,并加以弥补。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有