(一)安全评估方法
评估方法 | 说明 | 工具&命令 | |
1 | 恶意代码检测 | 利用恶意代码检测工具分析受害系统是否存在病毒、木马、蠕虫或间谍软件 | ①D盾_Web查杀(WebShellKill) ②chkrootkit ③rkhunter ④360杀毒工具 |
2 | 漏洞扫描 | 通过漏洞扫描工具检查受害系统存在的漏洞,分析漏洞危害性 | ①Nmap ②Nessus |
3 | 文件完整性检查 | 发现受害系统中被篡改文件或操作系统内核是否被替换 UNIX系统易被木马代替文件:telnet、intelnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd 检查所有被/etc/inetd.conf引用文件、重要网络和程序及共享库文件 | ①UNIX使用cmp命令比较文件 ②MD5工具进行Hash值校验 |
4 | 系统配置文件检查 | 对系统配置文件检查分析,发现攻击者对受害系统操作 UNIX系统 ①检查/etc/passwd文件是否有可疑用户 ②检查/etc/inet.conf文件是否被修改过 ③检查/etc/services文件是否被修改过 ④检查r命令配置/etc/hosts.equiv或者.rhosts文件 ⑤检查新SUID和SGID文件,使用find命令找出所有SUID和SGID文件 | Windows系统 ①利用系统自带事件查看器 ②使用第三方安全工具PCHunter、火绒剑等 |
5 | 网卡混杂模式检查 | 确认受害系统中是否安装网络嗅探器(获取账号密码) | CPM( Check Promiscuous Mode)、ifstatus等 |
6 | 文件系统检查 | 确认受害系统中是否有入侵者创建的文件(利于后续入侵) 把木马文件放在/dev目录中 | 特别检查名字奇怪的目录和文件(三个点、两个点、空白等) |
7 | 日志文件审查 | 审查受害系统日志文件,让应急响应人员掌握侵入途径、入侵执行操作 通过utmp日志文件,确定登录受害系统的用户,利用who命令读出信息 | 日志分析工具:grep、sed、awk、find |
(二)inetd
inetd被称为“超级服务器”,用于监视一些网络请求的守护进程,根据网络请求调用相应服务进程来处理连接请求。inetd.conf是inetd配置文件。配置inetd监听的网络端口,以及为每个端口启动的服务。
(1)内容:包含运行在inetd守护程序顶部的大量基于TCP/IP协议的网络服务的配置信息。大部分服务如finger,telnet等,在请求到来时由inet守护进程启动相应进程提供服务;但是如sendmail、named、www等服务,在系统启动时作为守护进程运行。
(2)格式:服务名称 socket类型 协议号 IP地址/主机名 端口号 处理程序名称 参数选项
(3)示例:ftp stream tcp nowt root /usr/in/tcpd /usr/in/proftpd
服务名称是ftp,socket类型是stream,协议号为tcp,IP地址/主机名为nowt,端口号是21,处理程序为proftpd,参数选项为none
(4)安全配置
chmod 600 /etc/inetd.conf
stat /etc/inetd.conf #所有者root
chattr +i /etc/inetd.conf #不允许改动
(5)优点:增加了系统安全性(按需启动服务)。
(6)缺点:大量并发时负载大,影响性能;不适合处理大量数据传输的服务(www、ftp等)
(7)注意:目前inetd已被xinetd取代,将每个服务文件放在/etc/xinetd.d目录下
(三)find提权
(1)查找SUID/SGID文件
find / -perm -4000 -o -perm -2000 -type f -exec ls -ld {} \;
(2)查找可写的系统文件
find /etc -name passwd -writable -exec ls -ld {} \;
find /etc -name shadow -writable -exec ls -ld {} \;
(3)查找具有漏洞的软件
find / -name apache2 -type d -exec ls -ld {} \;