网络安全应急响应:Unix系统高级检测
微信公众号:计算机与网络安全
1、Solaris高级检测技术规范
针对Solaris高级攻击技术和隐藏技术进行检测隐藏文件 。
(1)检测缓冲区溢出攻击
检测core文件隐藏文件 ,(find / -name “core”–print);
系统在受到缓冲区溢出攻击后,多会留下core 文件隐藏文件 。分析core 文件可以得到一些线索,如图1所示。
图1 Core文件分析
检查系统日志,溢出攻击一般会在日志中留下记录隐藏文件 。
检查是否有可能存在溢出的服务,如匿名ftp服务、telnet服务等隐藏文件 。检查它们是否有当掉等,有些rpc服务会在被溢出后当掉。
(2)检测rootkit(内核后门)
① 使用chkrootkit工具检测已知的rootkit、worm等
检测界面如图2所示隐藏文件 。
图2 使用chkrootkit工具的检测界面
② 查找没有属主的文件(find / -nouser –o –nogroup –print)
③ 查找隐藏文件( find / -name ‘.*’–print)
与系统快照进行对比, 检测文件是否改变;
使用lsof检测文件和进程关联;
其查找界面如图3所示隐藏文件 。
图3 隐藏文件查找界面
④ 检测可加载内核模块后门
/usr/sbin/modinfo, 与系统快照进行对比隐藏文件 。
查找不正常的内核模块,如ID不正常,出现不连续的模块ID等隐藏文件 。其检测界面如图4所示。
图4 可加载内核后门检测界面
⑤ 检测login后门
使用MD5检测/usr/bin/login并与快照进行对比;
使用strings查看可疑字串隐藏文件 。
其检测界面如图5所示隐藏文件 。
图5 login后门检测界面
⑥ 检测su后门
使用MD5检测su并与快照进行对比;
使用strings查看可疑字串隐藏文件 。
其检测界面如图6所示隐藏文件 。
图6 su后门检测界面
2、Unix高级检测技术案例
针对Unix高级攻击技术和隐藏技术进行检测的案例隐藏文件 。
(1)情况描述
这是某省信息港Solaris 8 Sparc主机被人植入rootkit,系统文件被替换的情形隐藏文件 。通过基本的检测没有发现不正常现象。因此要采取一些高级的检测方式检测。
(2)案例分析
缓冲区溢出攻击的检测,其检测界面如图7所示隐藏文件 。
图7 缓冲区溢出攻击的检测界面
通过检查core文件隐藏文件 ,没有发现什么;
检查rootkit;
通过chkrootkit检查,没有发现异常隐藏文件 。
查找没有属主的文件;
查找隐藏文件隐藏文件 ,查找界面如图8所示,未发现异常;
图8 隐藏文件查找界面
与系统快照进行对比, 检测文件是否改变;
使用lsof检测文件和进程关联,其界面如图9所示隐藏文件 。
图9 lsof检测界面
这里是lsof | grep *: 的输出结果隐藏文件 。在最下面一行标记,发现名为sendmail的进程,监听TCP:2457端口,正常情况Sendmail不会开这么高的端口。
继续检测telnet localhost 2457,其检测界面如图10所示隐藏文件 。发现是SSH服务端,并且改了个sendmail的名字,确认为被入侵并被安装了rootkit后门。
图10 telnet localhost 2457检测
(3)总结
在基本检测中,没有发现它的可见rootkit隐藏了端口和进程(通过替换netstat和ps文件)隐藏文件 。这里查出了rootkit。其实可以用干净的备份系统命令做一下验证。
图11是从应急响应盘拷贝过来的netstat的输出,可以看到2457端口在监听隐藏文件 。
图11 netstat的输出
检测可加载内核模块后门;
通过与快照对比检测隐藏文件 ,没有发现什么异常;
检测sendmail配置后门;
没有发现异常;
检测/usr/bin/login隐藏文件 ,通过与快照对比检测,发现文件被替换了;
检测/usr/bin/su,通过与快照对比检测,没有发现什么异常隐藏文件 。
- The end -
网络安全资料列表
爱资源吧版权声明:以上文中内容来自网络,如有侵权请联系删除,谢谢。