想要知道Unix操作系統(tǒng)的是否被入侵，我們就應(yīng)該知道如何檢查Unix操作系統(tǒng)文件的完整性相關(guān)的知識(shí)。在這里，我們來(lái)簡(jiǎn)單的介紹下，希望對(duì)大家有用。

Unix操作系統(tǒng)檢查文件的完整性有多種方法，通常我們通過(guò)輸入ls –l 文件名來(lái)查詢(xún)和比較文件，這種方法雖然簡(jiǎn)單，但還是有一定的實(shí)用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來(lái)查詢(xún)，查詢(xún)的結(jié)果是否正常來(lái)判斷文件是否完整。在LINUX下使用rpm來(lái)檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來(lái)獲得更多的格式。

Unix操作系統(tǒng)中，/bin/login是被入侵者經(jīng)常替換作為后門(mén)的文件，接下來(lái)談一下login后門(mén) ：

Unix操作系統(tǒng)里，Login程序通常用來(lái)對(duì)telnet來(lái)的用戶(hù)進(jìn)行口令驗(yàn)證。入侵者獲取login的源代碼并修改，使它在比較輸入口令與存儲(chǔ)口令時(shí)先檢查后門(mén)口令。如果用戶(hù)敲入后門(mén)口令，它將忽視管理員設(shè)置的口令讓你長(zhǎng)驅(qū)直入：這將允許入侵者進(jìn)入任何賬號(hào)，甚至是root目錄。

由于后門(mén)口令是在用戶(hù)真實(shí)登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個(gè)訪(fǎng)問(wèn)，所以入侵者可以登錄獲取shell卻不會(huì)暴露該賬號(hào)。管理員注意到這種后門(mén)后，使用”strings”命令搜索login程序以尋找文本信息。許多情況下后門(mén)口令會(huì)原形畢露。入侵者又會(huì)開(kāi)始加密或者更改隱藏口令，使strings命令失效。

所以許多管理員利用MD5校驗(yàn)和檢測(cè)這種后門(mén)。Unix操作系統(tǒng)中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：md5sum –b 使用二進(jìn)制方式閱讀文件；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文本方式閱讀文件。

在前面提到過(guò)守護(hù)進(jìn)程，對(duì)于守護(hù)進(jìn)程配置文件inetd.conf中沒(méi)有被注釋掉的行要進(jìn)行仔細(xì)比較。

舉個(gè)簡(jiǎn)單的例子，如果你開(kāi)放了telnet服務(wù)，守護(hù)進(jìn)程配置文件中就會(huì)有一句：
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過(guò)替換守護(hù)進(jìn)程中允許的服務(wù)文件來(lái)為自己創(chuàng)建一個(gè)后門(mén)。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個(gè)文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細(xì)閱讀該文件有沒(méi)有被入侵者利用來(lái)做其他的事情。

不替換login等文件而直接使用進(jìn)程來(lái)啟動(dòng)后門(mén)的方法有一個(gè)缺陷，即Unix操作系統(tǒng)一旦重新啟動(dòng)，這個(gè)進(jìn)程就被殺死了，所以得讓這個(gè)后門(mén)在系統(tǒng)啟動(dòng)的時(shí)候也啟動(dòng)起來(lái)。通常通過(guò)檢查/etc/rc.d下的文件來(lái)查看系統(tǒng)啟動(dòng)的時(shí)候是不是帶有后門(mén)程序。

說(shuō)到這里，另外提一下，如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個(gè)表明任何用戶(hù)進(jìn)來(lái)以后運(yùn)行這個(gè)文件都可以獲得一個(gè)rootshell，這就是setuid文件。運(yùn)行 find –perm 4000 –print對(duì)此類(lèi)文件進(jìn)行全局查找，然后刪除這樣的文件。

好了，這次關(guān)于檢查Unix操作系統(tǒng)文件的完整性的一些知識(shí)就介紹到這里，希望大家看完之后更加的熟練運(yùn)用。

【編輯推薦】

1. Unix操作系統(tǒng)中命令行介紹
2. Unix操作系統(tǒng)基礎(chǔ)知識(shí)
3. Unix操作系統(tǒng)服務(wù)器一般問(wèn)題提示及含義
4. Unix操作系統(tǒng)上機(jī)基本操作解說(shuō)
5. 舉例說(shuō)明Unix操作系統(tǒng)維護(hù)問(wèn)題