|
防止黑客的入侵
在談黑客入侵方面的安全管理之前���,我先簡單介紹一些黑客攻擊Linux主機(jī)的主要途徑和慣用手法����,讓大家對黑客攻擊的途徑和手法有所了解��。這樣才能更好地防患于未然���,做好安全防范��。
要阻止黑客蓄意的入侵��,可以減少內(nèi)網(wǎng)與外界網(wǎng)絡(luò)的聯(lián)系�����,甚至獨(dú)立于其它網(wǎng)絡(luò)系統(tǒng)之外����。這種方式雖造成網(wǎng)絡(luò)使用上的不便,但也是最有效的防范措施�。
黑客一般都會(huì)尋求下列途徑去試探一臺Linux或Unix主機(jī),直到它找到容易入侵的目標(biāo)��,然后再開始動(dòng)手入侵�。常見的攻擊手法如下:
1、直接竊聽取得root密碼,或者取得某位特殊User的密碼���,而該位User可能為root����,再獲取任意一位User的密碼����,因?yàn)槿〉靡话阌脩裘艽a通常很容易。
2��、黑客們經(jīng)常用一些常用字來破解密 碼��。曾經(jīng)有一位美國黑客表示,只要用“password”這個(gè)字��,就可以打開全美多數(shù)的計(jì)算機(jī)����。其它常用的單詞還有:account�、ald、 alpha��、beta��、computer���、dead����、demo�����、dollar�、games、bod�����、hello、help�����、intro�����、kill���、 love�����、no����、ok�����、okay�、please��、sex���、secret、superuser��、system�、test��、work���、yes等�。
3����、使用命令:finger@some.cracked.host,就可以知道該臺計(jì)算機(jī)上面的用戶名稱����。然后找這些用戶下手,并通過這些容易入侵的用戶取得系統(tǒng)的密碼文件/etc/passwd��,再用密碼字典文件搭配密碼猜測工具猜出root的密碼����。
4����、利用一般用戶在/tmp目錄放置著的SetUID的文件或者執(zhí)行著SetUID程序���,讓root去執(zhí)行�,以產(chǎn)生安全漏洞�����。
5��、利用系統(tǒng)上需要SetUID root權(quán)限的程序的安全漏洞����,取得root的權(quán)限,例如:pppd�。
6、從.rhost的主機(jī)入侵�����。因?yàn)楫?dāng)用戶執(zhí)行rlogin登錄時(shí)��,rlogin程序會(huì)鎖定.rhost定義的主機(jī)及賬號,并且不需要密碼登錄����。
7、修改用戶的.login��、cshrc����、.profile等Shell設(shè)置文件,加入一些破壞程序����。用戶只要登錄就會(huì)執(zhí)行���,例如“if /tmp/backdoor exists run /tmp/backdoor”��。
8�����、只要用戶登錄系統(tǒng)��,就會(huì)不知不覺地執(zhí)行Backdoor程序(可能是Crack程序)���,它會(huì)破壞系統(tǒng)或者提供更進(jìn)一步的系統(tǒng)信息�,以利Hacker滲透系統(tǒng)���。
9�、如果公司的重要主機(jī)可能有網(wǎng)絡(luò)防火墻的層層防護(hù)���,Hacker有時(shí)先找該子網(wǎng)的任何一臺容易入侵的主機(jī)下手���,再慢慢向重要主機(jī)伸出魔掌。例如:使用NIS共同聯(lián)機(jī)�����,可以利用remote 命令不需要密碼即可登錄等���,這樣黑客就很容易得手了����。
10���、Hacker會(huì)通過中間主機(jī)聯(lián)機(jī)��,再尋找攻擊目標(biāo)����,避免被用逆查法抓到其所在的真正IP地址。
11�����、Hacker進(jìn)入主機(jī)有好幾種 方式���,可以經(jīng)由Telnet(Port 23)�、Sendmail(Port25)�����、FTP(Port 21)或WWW(Port 80)的方式進(jìn)入����。一臺主機(jī)雖然只有一個(gè)地址��,但是它可能同時(shí)進(jìn)行多項(xiàng)服務(wù)�,而這些Port都是黑客“進(jìn)入”該主機(jī)很好的方式。
12、Hacker通常利用 NIS(IP)�、NFS這些RPC Service截獲信息。只要通過簡單的命令(例如showmount)�,便能讓遠(yuǎn)方的主機(jī)自動(dòng)報(bào)告它所提供的服務(wù)。當(dāng)這些信息被截獲時(shí)�,即使裝有 tcp_wrapper等安全防護(hù)軟件,管理員依然會(huì)在毫不知情的情況下被“借”用了NIS Server上的文件系統(tǒng)����,而導(dǎo)致/etc/passwd外流。
13����、發(fā)E-mail給anonymous賬號,從FTP站取得/etc/passwd密碼文件�,或直接下載FTP站/etc目錄的passwd文件。
14���、網(wǎng)絡(luò)竊聽��,使用sniffer程序監(jiān)視網(wǎng)絡(luò)Packet�����,捕捉Telnet���,F(xiàn)TP和Rlogin一開始的會(huì)話信息�,便可順手截獲root密碼�,所以Sniffer是造成今日Internet非法入侵的主要原因之一。
15����、利用一些系統(tǒng)安全漏洞入侵主機(jī),例如:Sendmail����、Imapd、Pop3d�、DNS等程序,經(jīng)常發(fā)現(xiàn)安全漏洞���,這對于入侵不勤于修補(bǔ)系統(tǒng)漏洞的主機(jī)相當(dāng)容易得手���。
16、被Hacker入侵計(jì)算機(jī)����,系統(tǒng)的Telnet程序可能被掉包���,所有用戶Telnet session的賬號和密碼均被記錄下����,并發(fā)E-mail給Hacker,進(jìn)行更進(jìn)一步的入侵�。
17、Hacker會(huì)清除系統(tǒng)記錄��。一些厲害的Hacker都會(huì)把記錄它們進(jìn)入的時(shí)間���、IP地址消除掉�,諸如清除:syslog��、lastlog�����、messages�、wtmp、utmp的內(nèi)容����,以及Shell歷史文件.history。
18���、入侵者經(jīng)常將如ifconfig�����、tcpdump這類的檢查命令更換��,以避免被發(fā)覺����。
19、系統(tǒng)家賊偷偷復(fù)制/etc/passwd��,然后利用字典文件去解密碼�。
20、家賊通過su或sudo之類的Super User程序覬覦root的權(quán)限�����。
21�、黑客經(jīng)常使用Buffer overflow(緩沖區(qū)溢位)手動(dòng)入侵系統(tǒng)。
22�����、cron是Linux用來自動(dòng)執(zhí)行命令的工具��,如定時(shí)備份或刪除過期文件等等�����。入侵者常會(huì)用cron來留后門���,除了可以定時(shí)執(zhí)行破譯碼來入侵系統(tǒng)外����,又可避免被管理員發(fā)現(xiàn)的危險(xiǎn)�。 操作系統(tǒng)
23、利用IP spoof(IP詐騙)技術(shù)入侵Linux主機(jī)�����。
以上是目前常見的黑客攻擊Linux 主機(jī)的伎倆����。如果黑客可以利用上述一種方法輕易地入侵計(jì)算機(jī)的話,那么該計(jì)算機(jī)的安全性實(shí)在太差了����,需要趕快下載新版的軟件來升級或是用patch文件來 修補(bǔ)安全漏洞。在此警告�����,擅自使用他人計(jì)算機(jī)系統(tǒng)或竊取他人資料的都是違法行為,希望各位讀者不要以身試法����。
除了上面這些方法,很多黑客還可 以利用入侵工具來攻擊Linux系統(tǒng)�。這些工具常常被入侵者完成入侵以后種植在受害者服務(wù)器當(dāng)中。這些入侵工具各自有不同的特點(diǎn)��,有的只是簡單地用來捕捉 用戶名和密碼�����,有的則非常強(qiáng)大可記錄所有的網(wǎng)絡(luò)數(shù)據(jù)流����。總之�����,黑客利用入侵工具也是攻擊Linux主機(jī)的常用方法���。
對黑客的安全防護(hù)
如果要保護(hù)系統(tǒng)的安全�,針對黑客入侵我們要做的第一步應(yīng)該就是把預(yù)防工作提前做好。作為一名系統(tǒng)管理員一定要保證自己管理的系統(tǒng)在安全上沒有漏洞���。這樣就不會(huì)給非法用戶可乘之機(jī)。
要提前做好預(yù)防工作����,我認(rèn)為主要有下面幾點(diǎn):
第一,提前關(guān)閉所有可能的系統(tǒng)后門��,以防止入侵者利用系統(tǒng)中的漏洞入侵���。例如用“rpcinfo -p”來檢查機(jī)器上是否運(yùn)行了一些不必要的遠(yuǎn)程服務(wù)����。一旦發(fā)現(xiàn)���,立即停掉����,以免給非法用戶留下系統(tǒng)的后門���。
第二�����,確認(rèn)系統(tǒng)當(dāng)中運(yùn)行的是較新的Linux����、Unix守護(hù)程序。因?yàn)槔系氖刈o(hù)程序允許其它機(jī)器遠(yuǎn)程運(yùn)行一些非法的命令��。
第三��,定期從操作系統(tǒng)生產(chǎn)商那里獲得安全補(bǔ)丁程序����。
第四,安裝加強(qiáng)系統(tǒng)安全的程序���,如:Shadow password�、TCP wrappet���、SSH��、PGP等��。
第五�����,可以搭建網(wǎng)絡(luò)防火墻����,防止網(wǎng)絡(luò)受到攻擊。
第六���,利用掃描工具對系統(tǒng)進(jìn)行漏洞檢測,來考驗(yàn)主機(jī)容易受攻擊的程度����。
第七,多訂閱一些安全通報(bào)�,多訪問安全站點(diǎn),以獲得及時(shí)的安全信息來修補(bǔ)系統(tǒng)軟硬件的漏洞����。
具體說來, 對系統(tǒng)進(jìn)行安全檢查有以下幾個(gè)方法:
1、充分利用Linux和Unix系統(tǒng)中內(nèi)置的檢查命令來檢測系統(tǒng)�。例如,下面的幾個(gè)命令在Linux和Unix系統(tǒng)中就很有用處:
-who�����,查看誰登陸到系統(tǒng)中;
-w��,查看誰登陸到系統(tǒng)中���,且在做什么操作�;
-last�,顯示系統(tǒng)曾經(jīng)被登陸的用戶和TTYS;
-history�����,顯示系統(tǒng)過去被運(yùn)行的命令����;
-netstat,可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài)���;
-top��,動(dòng)態(tài)實(shí)時(shí)察看系統(tǒng)的進(jìn)程�;
-finger�����,查看所有的登陸用戶。
2����、定期檢查系統(tǒng)中的日志、文件�����、時(shí)間和進(jìn)程信息���。如:
-檢查/var/log/messages日志文件查看外部用戶的登陸狀況����;
-檢查用戶目錄下/home/username下的登陸歷史文件(如:.history 文件)���;
-檢查用戶目錄下/home/username的.rhosts、.forward遠(yuǎn)程登陸文件�;
-用“find / -ctime -2 -ctime +1 -ls”命令來查看不到兩天以內(nèi)修改的一些文件;
-用“ls -lac”命令去查看文件真正的修改時(shí)間���;
-用“cmp file1 file2”命令來比較文件大小的變化���;
-保護(hù)重要的系統(tǒng)命令����、進(jìn)程和配置文件以防止入侵者替換獲得修改系統(tǒng)的權(quán)利����。
當(dāng)然為了保證系統(tǒng)的絕對安全,除了做好預(yù)防和進(jìn)行安全檢查工作外���,還要養(yǎng)成一個(gè)保證系統(tǒng)���、網(wǎng)絡(luò)安全的好習(xí)慣。這就是定期定時(shí)做好完整的數(shù)據(jù)備份���。有了完整的數(shù)據(jù)備份����,在遭到攻擊或系統(tǒng)出現(xiàn)故障時(shí)也能迅速恢復(fù)系統(tǒng)���。
對于病毒入侵的安全防范
如今dos��、Windows 9X/Me/NT/2000/XP系統(tǒng)下的病毒很流行�,但人們幾乎沒聽說過在Linux或Unix系統(tǒng)中有病毒,甚至有人認(rèn)為Linux或Unix系統(tǒng)中 沒有病毒存在�。其實(shí)這是一個(gè)很大的錯(cuò)誤認(rèn)識。事實(shí)上世界上第一個(gè)計(jì)算機(jī)病毒就是Unix病毒��。如果Linux系統(tǒng)中一旦發(fā)生病毒泛濫����,后果將不堪設(shè)想。現(xiàn) 在很多種病毒都用標(biāo)準(zhǔn)的C程序來編寫�,以適應(yīng)任何類的Linux和Unix。并且它們可以用make程序來跨平臺編譯�����。
盡管Windows NT/2000和Linux��、Unix的系統(tǒng)是有著非常高級的保護(hù)機(jī)制的系統(tǒng)���,可以預(yù)防大多數(shù)的病毒的傳染,但不是所有的����。因此,對于Linux系統(tǒng)來 說��,不是沒有計(jì)算機(jī)病毒的危害存在。比如Morris���、Ramen��、Lion等病毒都先后曾經(jīng)對Linux甚至Unix系統(tǒng)進(jìn)行過攻擊����。
一般大多數(shù)的Linux網(wǎng)絡(luò)主要 是由一臺或多臺安裝Linux操作系統(tǒng)的服務(wù)器做Web Server或FTP Server����,通常也會(huì)有Mail Server。目前工作站端大多是安裝了Windows 9X/Me/NT/2000/XP等操作系統(tǒng)的計(jì)算機(jī)��。對這種Linux網(wǎng)絡(luò)計(jì)算機(jī)病毒防護(hù)主要還是基于工作站的單機(jī)防護(hù)����。可以在Linux服務(wù)器上安裝 Samba服務(wù)����,利用病毒掃描工具從某個(gè)安全的工作站定期對服務(wù)器磁盤上的文件進(jìn)行掃描,從而達(dá)到病毒防護(hù)的目的����。
計(jì)算機(jī)病毒是計(jì)算機(jī)制造商和政府 最頭痛的問題���,據(jù)估計(jì)目前約有數(shù)千種病毒在計(jì)算機(jī)上流行,而每天又會(huì)出三種新的計(jì)算機(jī)病毒���。目前�����,大多數(shù)計(jì)算機(jī)都使用
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
