檢查各配置文件查找后門位置 ， 未授權(quán)的信任關(guān)系和未授權(quán)的用戶ID 。
/etc/passwd ， 查找未授權(quán)的用戶帳號(hào)和權(quán)限 。初級(jí)的入侵者會(huì)添加uid=0的用戶 ，
有人也會(huì)把系統(tǒng)中一個(gè)不起眼的原本沒(méi)有shell的普通賬戶改成可登陸獲得shell執(zhí)行命令 ，
然后他可以通過(guò)一個(gè)suid位的ksh或其他的安置在本地的后門馬上得到rootshell.
/etc/shadow,確保每個(gè)用戶都有密碼認(rèn)證；當(dāng)然攻擊者給自己的賬戶加一個(gè)md5 hash其實(shí)也是非常簡(jiǎn)單的事 。
/etc/groups,查找權(quán)限的升級(jí)和訪問(wèn)范圍的擴(kuò)大 。
/etc/hosts,列出本地DNS條目 。
/etc/hosts.equiv,檢查信任關(guān)系 。
~/.rhosts,檢查基于用戶的信任關(guān)系 ， 這種很濫的后門相信大家都知道 。
/etc/hosts.allow && /etc/hosts.deny 檢查tcpwrapper的規(guī)則 。
/etc/rc*,檢查啟動(dòng)文件 。
Crontab文件 ， 列出計(jì)劃事件 。
/etc/inetd.conf,列出端口所監(jiān)聽(tīng)的服務(wù) 。
===========
轉(zhuǎn)儲(chǔ)系統(tǒng)RAM
===========
主要是從系統(tǒng)轉(zhuǎn)移/proc/kmem或/proc/kcore文件 ， 該文件以非連續(xù)方式包含系統(tǒng)RAM的內(nèi)容 。
{{深入調(diào)查}}
============
檢查系統(tǒng)日志
============
Unix有很多日志 ， 這些為應(yīng)急響應(yīng)提供重要的線索 。日志文件大多位于公用目錄 ， 通常是/var/log,或/usr/adm,/var/adm,
有些日志位于禁止訪問(wèn)的/etc目錄 。具體請(qǐng)參考當(dāng)前操作體系統(tǒng)文檔 。
其中syslogd守護(hù)進(jìn)程提供非常強(qiáng)大的日志功能 ， 比如裝載一個(gè)內(nèi)核模塊的登記 ， 其配置文件為/etc/syslog.conf ，
通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三個(gè)字段：
facility字段表示產(chǎn)生該日志文件的子系統(tǒng)；priority字段表明事件的嚴(yán)重級(jí)別；
action字段表明如何記錄日志 ， 它提供了遠(yuǎn)程網(wǎng)絡(luò)記錄的能力 。
TCP wrapper日志也利用syslog記錄 ， 其中可能會(huì)有telnet,ssh,ftp等遠(yuǎn)程登錄的信息 。這些日志中有很多有價(jià)值的條目：
嘗試登陸的時(shí)間日期 ， 主機(jī)名稱 ， 訪問(wèn)的服務(wù)類型 ， 以及源IP地址 。
其他的網(wǎng)絡(luò)日志比如 ， web,ftp,sql通常自身都提供了較為詳細(xì)的信息 。Apache默認(rèn)日志在/usr/local/apache/logs,
最有用的日志是access_log,還有ssl_request_log,ssl_engine_log也能提供有價(jià)值的信息 。其中可能包含攻擊前的掃描記錄 。
Su命令日志 ， 記錄了每一次執(zhí)行su命令的動(dòng)作：時(shí)間日期 ， 成功與否 ， 終端設(shè)備 ， 用戶ID.有些Unix具有單獨(dú)的su日志 ，
有些則保存在syslog中 。
登陸用戶日志：utmp或wtmp文件保存了有關(guān)當(dāng)前登陸到系統(tǒng)的用戶的信息 。此文件根據(jù)各UNIX版本的不同 ，
名稱及存儲(chǔ)位置有所差異 。保存的基本信息是用戶名 ， 用于登陸的終端以及登陸的時(shí)間 。文件以二進(jìn)制格式存儲(chǔ) 。
查詢utmp,wtmp文件應(yīng)使用適當(dāng)?shù)目蛻舳?， 如w,who,finger,last.檢索成功 ， 失敗與用戶名未知的登陸條目 。
Cron日志記錄了定時(shí)作業(yè)的內(nèi)容 ， 通常在/var/log/cron或默認(rèn)日志目錄中一個(gè)稱為cron的文件里 。
進(jìn)程記賬 ， 如果系統(tǒng)存在acct或pacct日志文件 ， 則可使用lastcomm或acctcom命令查看 。該日志為二進(jìn)制文件 。
Shell歷史記錄：
[root@ay4z3ro foo]# less ~/.bash_history
如果.bash_history被鏈接到/dev/null文件 ， 或者環(huán)境變量中的$HISTFILE,$HISTFILESIZE兩個(gè)變量值為0 ， 那么肯定有人非法活動(dòng)過(guò)了 。
大多數(shù)入侵者都會(huì)修改或刪除日志 ， 雖然理論上能夠做到除種植lkm rootkit之外幾乎不留任何痕跡 ， 但在實(shí)際入侵中 ，
善后工作實(shí)際上是個(gè)不小的工程 ， 不僅依賴入侵者對(duì)系統(tǒng)的熟知程度 ， 而且當(dāng)處理過(guò)多繁瑣的內(nèi)容時(shí) ， 疏忽很容易出現(xiàn) 。比如:剛得到

推薦閱讀

• 

  pdf壓縮工具推薦 免費(fèi)壓縮pdf的軟件
• 

  橡皮怎么畫 橡皮的畫法
• 

  處暑節(jié)氣詩(shī)詞 處暑節(jié)氣詩(shī)詞匯總
• 

  原神雷澤用什么武器 原神雷澤武器推薦
• 

  小龍蝦種苗價(jià)格及養(yǎng)殖方法
• 

  網(wǎng)速k和b哪個(gè)快
• 

  同居多久算事實(shí)婚姻
• 

  夢(mèng)見(jiàn)認(rèn)識(shí)老同學(xué)
• 

  切山藥后手癢怎么辦
• 

  高翰的寓意
• 

  甜到炸的圣誕節(jié)暖心文案 圣誕節(jié)表白說(shuō)什么
• 

  America,34eee
• 

  國(guó)外一個(gè)住在城堡電影
• 

  自報(bào)橡皮擦二年級(jí)作文
• 

  重慶師范大學(xué)2021年的錄取分?jǐn)?shù)，重慶師范大學(xué)收分
• 

  看守所可以打電話給家人嗎

• 在SCO UNIX操作系統(tǒng)下架設(shè)簡(jiǎn)單路由器
• SCO UNIX--安裝
• SCO UNIX系統(tǒng)root密碼丟失的處理
• SCO UNIX--基本配置及操作
• SCO UNIX--機(jī)器啟動(dòng)的認(rèn)識(shí)
• 一 SCO UNIX--高級(jí)進(jìn)階
• 二 SCO UNIX--高級(jí)進(jìn)階
• 三 SCO UNIX--高級(jí)進(jìn)階
• UNIX平臺(tái)廉價(jià)雙機(jī)容錯(cuò)方案
• Unix系統(tǒng)安全必讀