应对系统攻击:识别、响应与处理
1. 攻击迹象识别
在系统安全领域,及时识别攻击迹象至关重要。以下是一些常见的攻击迹象及其识别方法:
-新账户创建:攻击者获取超级用户权限后,常创建新账户,尤其是用户 ID 为 0 的账户以获取超级权限。检测方法是定期检查密码文件的未授权更改。若只有一人有权添加或删除账户,检测相对简单;若多人有权限,区分授权和未授权更改则较困难。可使用 COPS 程序查找用户 ID 为 0 且非 root 的账户,也可采用非标准方法更新密码文件,如使用 RCS 或 SCCS 控制密码文件版本,使攻击者的更改更易察觉,但这些方法并非万无一失。
-新文件出现:文件系统中如 /、/etc、/usr 等目录出现新文件可能意味着系统被入侵。这些文件通常有奇怪文件名,或设置了 set-user-id 或 set-group-id 位。特别要搜索以“.”开头的文件,因为标准 ls 命令默认不显示。攻击者常创建名为“…”的目录来隐藏。可使用清单工具检测系统目录中的新文件。
-数据修改:攻击者会修改常见系统程序,如 login、sh、csh 或 /etc/rc 文件,留下“陷阱门”以随时登录或执行命令。修改 /etc/rc 文件可在系统重启时重新安装被删除的程序或文件。清单工具可帮助检测系统文件的未授权修改。
-系统性能不佳:攻击者执行程序可能导致系统响应时间长、性能不佳,但正常用户运行大型计算任务也可能有此情况。可使用 ps 等工具检查运行进程,查找占用大量 CPU 时间、内存大或快速出现消失的进程。iostat、
