怎样检测不同操作系统下黑客发起的攻击 - Linux 时代

首页 | 博客 | Linux | 论坛 | 人才 | 培训 | 知识库 | 资料 | 读书 | 手册 | 精华 | 下载 | 沙龙 | 搜索

搜索

产品与方案

·中科红旗全面打造现代化邮政体系
·红旗助力“网上审批服务” 推动电子政务
·红旗正版化开创呼和浩特网吧建设新起点
·红旗Linux助信息产业部邮件服务器“快跑”
·中标普华Linux 为电子政务信息化保驾护航
·中标普华Linux助力基金产业
·中标普华Office率先支持UOF标准
·中标普华邮件系统助力西藏政府信息化建设
·红旗Linux助力国库集中支付系统改革
·红旗助中信卫星掀起GIS通信应用风暴
·红旗软件助力烟草总局全面建设“数字烟草”
·红旗助力“信访阳光工程”打造畅通信访渠道
·红帽联合FIS发布下一代实时核心银行平台
·红旗助力金盾打造全无忧出入境信息系统
·红旗Linux全力打造中国邮政总局名址信息库
·爱尔兰证交所从Unix迁移到红帽企业Linux
·一流的意大利银行选择使用红帽企业Linux
·PLUS Finanzservice选择使用红帽企业Linux
·红帽助力TransACT Communications 公司
·法国零售业巨头Lapeyre采用Redhat Linux
·旅游预订网站选择使用红帽企业Linux
·马哈拉施特拉邦政府的红帽解决之道
·美国联邦政府案例
·红帽为慕尼黑展览会提供现代化集群系统
·Yuba郡用开源软件和红帽产品提高了效率
·红帽企业Linux助印度理工建立高性能计算中心
·采用红帽Linux 将系统维护时间缩短了65%
·从UNIX迁移到Linux使PeÃ±oles公司获益非浅
·Hikal公司用红帽企业Linux开展任务关键的ERP项目
·KDE3.5.4新版本发布
·芝加哥商业交易所从Unix向Linux迁移
·南方基金管理有限公司成功案例 Red Hat Linux
·广东北电通讯设备有限公司成功案例
·挪威国家石油公司从UNIX迁移到红帽Linux，成本减半
·中央电视台CCTV动画部案例 Red Hat Linux

图书

鸟哥的Linux私房菜基础学..

Linux程序设计.第3版

Linux设备驱动开发详解

下载

·Endian Firewall
·linux kernel(Linux 内核)
·CentOS
·Fedora Core 6
·Scientific Linux
·Slackware 11.0
·Gentoo Linux
·ubuntu-6.10-i386服务器版本
·ubuntu-6.10-amd64服务器版
·ubuntu-6.10-i386桌面版
·ubuntu-6.10-amd64桌面版
·Engarde Linux

您的位置: Linux时代 > 技术文档 > 系统安全 >

怎样检测不同操作系统下黑客发起的攻击

日期：2008-01-23　作者：赛迪网　来自：linux.chinaunix.net

　　多数计算机漏洞都能以多种方式被利用。黑客攻击可以利用某个特定的漏洞，而且对某些漏洞的利用会同时发生，黑客们还可以利用系统组件的某处错误配置或早些时候攻击留下的后门。

　　有鉴于此，检测黑客攻击并不是一件轻松事情，特别是对于一位不熟练的用户来说。本文将给出一些基本的指南，以帮助你决定自己的计算机是否受到了攻击，或者说你的系统安全是否受到了破坏。记住：就像对付病毒一样，并不能保证你用某种方法一定可以检测出一次黑客攻击。但是，如果你的系统遭受攻击，它就会表现出这样或那样的行为。

　　对Windows平台计算机的检测

　　Windows平台计算机遭受攻击的症状：

　　1.可疑的大量转出通信。如果你正使用一个拨号账户或者正使用ADSL，并且注意到一次不寻常的大量的转出网络的通信(你的计算机处于空闲状态或者没有必要上载数据时)，那么有可能你的计算机已经遭受到了损害。你的计算机有可能正被用于发送垃圾邮件或被一个不断复制自身并发送其副本的网络蠕虫所使用。对于宽带连接，这与黑客攻击的关系性可能性不大，即使你仅仅是浏览网站或从互联网上下载数据，也会有几乎同样大小的数据流入或流出网络。

　　2.增加的磁盘活动或在任何驱动器root目录中增加了一些看起来可疑的文件。在攻入一个系统之后，许多黑客都要运行一次大规模的扫描，来检查任何他感兴趣的文档或包含银行账户口令或支付账户，如支付宝等文件。类似情况下，一些蠕虫也会搜索包含电子邮件地址以磁盘文件，用于传播垃圾邮件。如果在系统空闲时，你注意到严重的磁盘活动与公用文件夹中的某些可疑的命名文件发生了联系，这就可能表示一次系统攻击或恶意软件感染的发生。

　　3.来自某个单一IP地址的大量数据包被个人防火墙所阻止。在定位了一个目标之后(例如，一家公司或家庭用户的IP地址范围)，黑客们通常会运行自动化的探测工具，利用漏洞来突破并进入系统。如果你运行着个人防火墙(防护攻击的一个基本元素)，并注意到来自某个同一IP地址的大量异常数据包被阻止，那么这会指明你的机器正遭受着攻击。好消息是如果你的个人防火墙正报告这些攻击，你可能还比较安全。然而，依赖于你向互联网暴露的服务，个人防火墙可能会无法保护你一次针对一个特定的FTP服务的攻击，而这种服务可能会被所有的人访问到。在这种情况下，一个可行的解决方案是临时阻止这些讨厌的IP地址直至连接企图停止。许多个人防火墙和IDS都有这个内置特性。

　　4.即使你没有执行什么非正常操作，本地反病毒软件却突然报告说，检测到了后门或特洛伊木马。虽然黑客攻击可能非常复杂并且不断翻新，许多攻击还是要依赖于已知的特洛伊木马或后门来获取对一个受损系统的完全访问权。如果你的本地反病毒组件正检测和报告这种恶意代码，这就表明你的系统有可能可以从外部访问。

　　对Unix平台计算机的检测

　　Unix平台计算机遭受攻击的症状有这些：

　　1.在/tmp文件夹内的可疑的命名文件。Unix系统中的许多漏洞利用都依赖在/tmp标准文件夹中创建临时文件，在系统遭受攻击后这很难被检测出来。对于已知的一些感染Unix系统的蠕虫也是这样，蠕虫会将其自己编译到/tmp文件夹中，并恶意运用之。

　　2.修改系统中的一些程序，如'login', 'telnet', 'ftp', 'finger'等，或者是一些更加复杂的进程，如'sshd', 'ftpd'等等。在突破进入一个系统之后，一个黑客通常会将一个后门植入到某个可以直接访问互联网的进程中，试图确保其访问的安全，或者修改可用于与其它系统联系起来的标准系统实用程序。被修改的程序通常成为一个rootkit的部分，并且通常情况下它们会破坏一些简单的检查。在所有的情况下，为每一个系统实用程序维持一个检查和(checksum)的数据库是一个好注意，并且定期地在单一用户模式中，将其与系统进行离线验证。

　　3.修改/etc/passwd、 /etc/shadow，或者修改/etc文件夹中的所有其它系统文件。有时，黑客攻击会在/etc/passwd中增加一个新用户，它可以在日后远程登录到系统中。你可以在口令文件中查看可疑的用户名，并且监视所有的增加项，特别是在一个多用户的系统中更要这样。

　　4.一些可疑的服务被添加到/etc/services中。在一个Unix系统中打开一个后门有时也就是增加一两行代码。这是通过修改/etc/services以及/etc/ined.conf而实现的。你需要密切地监视这两个文件中的任何添加项，因为这会指明一个后门与一个未用的或可疑的端口联结起来。

本文被浏览次