网络安全应急响应：Unix系统高级检测

微信公众号：计算机与网络安全

1、Solaris高级检测技术规范

针对Solaris高级攻击技术和隐藏技术进行检测隐藏文件 。

（1）检测缓冲区溢出攻击

检测core文件隐藏文件 ，（find / -name “core”–print）；

系统在受到缓冲区溢出攻击后，多会留下core 文件隐藏文件 。分析core 文件可以得到一些线索，如图1所示。

图1 Core文件分析

检查系统日志，溢出攻击一般会在日志中留下记录隐藏文件 。

检查是否有可能存在溢出的服务，如匿名ftp服务、telnet服务等隐藏文件 。检查它们是否有当掉等，有些rpc服务会在被溢出后当掉。

（2）检测rootkit（内核后门）

① 使用chkrootkit工具检测已知的rootkit、worm等

检测界面如图2所示隐藏文件 。

图2 使用chkrootkit工具的检测界面

② 查找没有属主的文件（find / -nouser –o –nogroup –print）

③ 查找隐藏文件（ find / -name ‘.*’–print）

与系统快照进行对比, 检测文件是否改变；

使用lsof检测文件和进程关联；

其查找界面如图3所示隐藏文件 。

图3 隐藏文件查找界面

④ 检测可加载内核模块后门

/usr/sbin/modinfo, 与系统快照进行对比隐藏文件 。

查找不正常的内核模块，如ID不正常，出现不连续的模块ID等隐藏文件 。其检测界面如图4所示。

图4 可加载内核后门检测界面

⑤ 检测login后门

使用MD5检测/usr/bin/login并与快照进行对比；

使用strings查看可疑字串隐藏文件 。

其检测界面如图5所示隐藏文件 。

图5 login后门检测界面

⑥ 检测su后门

使用MD5检测su并与快照进行对比；

使用strings查看可疑字串隐藏文件 。

其检测界面如图6所示隐藏文件 。

图6 su后门检测界面

2、Unix高级检测技术案例

针对Unix高级攻击技术和隐藏技术进行检测的案例隐藏文件 。

（1）情况描述

这是某省信息港Solaris 8 Sparc主机被人植入rootkit，系统文件被替换的情形隐藏文件 。通过基本的检测没有发现不正常现象。因此要采取一些高级的检测方式检测。

（2）案例分析

缓冲区溢出攻击的检测，其检测界面如图7所示隐藏文件 。

图7 缓冲区溢出攻击的检测界面

通过检查core文件隐藏文件 ，没有发现什么；

检查rootkit；

通过chkrootkit检查，没有发现异常隐藏文件 。

查找没有属主的文件；

查找隐藏文件隐藏文件 ，查找界面如图8所示，未发现异常；

图8 隐藏文件查找界面

与系统快照进行对比, 检测文件是否改变；

使用lsof检测文件和进程关联，其界面如图9所示隐藏文件 。

图9 lsof检测界面

这里是lsof | grep *: 的输出结果隐藏文件 。在最下面一行标记，发现名为sendmail的进程，监听TCP：2457端口，正常情况Sendmail不会开这么高的端口。

继续检测telnet localhost 2457，其检测界面如图10所示隐藏文件 。发现是SSH服务端，并且改了个sendmail的名字，确认为被入侵并被安装了rootkit后门。

图10 telnet localhost 2457检测

（3）总结

在基本检测中，没有发现它的可见rootkit隐藏了端口和进程（通过替换netstat和ps文件）隐藏文件 。这里查出了rootkit。其实可以用干净的备份系统命令做一下验证。

图11是从应急响应盘拷贝过来的netstat的输出，可以看到2457端口在监听隐藏文件 。

图11 netstat的输出

检测可加载内核模块后门；

通过与快照对比检测隐藏文件 ，没有发现什么异常；

检测sendmail配置后门；

没有发现异常；

检测/usr/bin/login隐藏文件 ，通过与快照对比检测，发现文件被替换了；

检测/usr/bin/su，通过与快照对比检测，没有发现什么异常隐藏文件 。

- The end -

网络安全资料列表