都是Linux服务器
但是现在网络环境还不是很平静总是有人进行恶意攻击
平时会有
些朋友遇见服务器被黑问题经过搜集和整理相关相关材料在这里本人给大家找到了Linux服务器被黑解决思路方法希望大家看后会有不少收获如果你安装了所有正确
补丁拥有经过测试防火墙并且在多个级别都激活了先进入侵检测系统那么只有在种情况下你才会被黑那就是你太懒了以至没去做该做事情例如安装BIND最新补丁不留神而被黑确实让人感到为难更严重是某些脚本小鬼还会下载些众所周知“rootkits”或者流行刺探工具这些都占用了你CPU存储器数据和带宽这些坏人是从那里开始着手呢?这就要从rootkit开始说起个rootkit其实就是个软件Software包黑客利用它来提供给自己对你机器具有root级别访问权限旦这个黑客能够以root身份访问你机器切都完了唯可以做就是用最快效率备份你数据清理硬盘然后重新安装操作系统无论如何旦你机器被某人接管了要想恢复并不是件轻而易举事情你能信任你
ps命令吗?在Linux服务器中找出rootkit
首个窍门是运行ps命令有可能对你来说切都看来很正常真正问题是“真切都正常吗?”黑客常用个诡计就是把ps命令替换掉而这个替换上ps将不会显示那些正在你机器上运行非法
为了测试个应该检查你ps文件大小它通常位于/bin/ps在我们Linux机器里它大概有60kB我最近遇到个被rootkit替换ps这个东西只有大约12kB大小另
个明显骗局是把root命令历史记录文件链接到/dev/null这个命令历史记录文件是用来跟踪和记录个用户在登录上台Linux机器后所用过命令黑客们把你历史纪录文件重定向到/dev/null目在于使你不能看到他们曾经输入过命令你可以通过在shell提示符下敲入history来访问你
历史记录文件假如你发现自己正在使用history命令而它并没有出现在的前使用过命令列表里你要看看你~/.bash_history文件假如这个文件是空就执行个ls-l~/.bash_history命令在你执行了上述命令后你将看到类似以下输出:-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者
你可能会看到类似以下输出:lrwxrwxrwx 1 jd jd 9 Oct 1019:40/home/jd/.bash_history -> /dev/null假如你看到
是第 2种就表明这个bash_history文件已经被重定向到/dev/null这是个致命信息现在就立即把你机器从Internet上断掉尽可能备份你数据并且开始重新安装系统解决Linux服务器被黑
需要寻找未知用户账号:在你打算对你
Linux机器做次检测时候首先检查是否有未知用户账号无疑是明智在下次你登录到你Linux服务器时敲入以下命令:grep :x:0: /etc/passwd
只有
行我再强调遍在个标准Linux安装里grep命令应该只返回行类似以下:root:x:0:0:root:/root:/bin/bash
假如在敲入的前
grep命令后你系统返回结果不止行那可能就有问题了应该只有个用户UID为0而如果grep命令返回结果超过行那就表示不止个用户认真来说虽然对于发现黑客行为以上都是些很好基本思路方法但这些窍门技巧本身并不能构成足够安全性而且其深度和广度和在文章头提到入侵检测系统比起来也差得远以上给大家讲解
是个小知识点有关linux服务器被黑解决思路方法
最新评论