作者：    来源：    点击：    日期：2007-11-16 8:36:53   

最后……看了一下手表，哇!13:53了，又要上工了，以后再来消遣你吧!现在，我要上工，你就好好休息??!嘿嘿!

　　# /sbin/shutdown now

　　…………

　关机啦!

　讨论及防范措施

　好了!我们从上面的例子可以看出，黑客的攻击步骤是如下六个步骤：

　　1.收集资料

　　2.取得普通用户的权限

　　3.远程登陆

　　4.取得超级用户的权限

　　5.留下后门

　　6.清除日志

　其中最重要，也是最容易被管理员忽视的是第二个步骤。如果能够得到一个那怕是权限再小的账户，黑客也可以利用各种五花八门的漏洞来提升他的权限，并最终获得root。许多人认为只要对root账户加以注意就足够了，其实不然，如果黑客很容易地进入了主机，那他就会跳过root口令这一攻击难点，直接利用缓冲区溢出来root(如上面的例子就是这样)。因此，大家一定要注意对普通账户密码强度的测试和检查，并强令用户定期更改。

　定期遍历磁盘检查.rhosts文件，这个后门十分危险，它可以直接不用口令而远程登陆。况且现在有不少的工具可以自动扫描这个漏洞，一旦发现一个，黑客们就会像苍蝇闻到血味一样蜂拥而至。如果他们像我一样的“善良”，只玩个 shutdown还好说;碰到个把“辣手”黑客来个rm -fr *，你的饭碗估计就会丢了!

　定期检查属性为-rwsr-sr--的文件。这种文件只要一被user执行，他马上就会具有和该文件创造者一样的权限。如果创造者是root的话，结果可想而之。一般黑客们都将shell改成此类属性然后藏起来，便于下次利用。

　不要过分相信日志，因为它很可能是被入侵者加过“工”的。注意留心某些启动时自动加载的文件的内容和时间，因为它们可能会被植入木马。如:/etc/rc.d/init.d/network，就是在网络服务启动时自动加载的。

　使用MD5保护自己的二进制程序。MD5在发现/bin、/sbin等目录下的文件被替换时会报警或用Email通知管理员，这可以有效地防止假login、假su的诱骗。

　使用getsniff和rootkit detector等工具查找系统中是否有嗅探器和rootkit黑客工具包，尤其是rootkit，这玩艺危害无穷。

　留心自己的CGI是否有漏洞，现在针对CGI漏洞的扫描工具特别多:如 Unix/Linux平台下的messala和hunt等;Win9x/Win2000平台下的Twwwsacn和流光等等。尤其是流光，不论高手还是菜鸟都喜欢用它，真是一副老少皆宜的奇怪景观。^_^

　如果不需要ftp服务，最好关掉它，开着只会后患无穷。黑客可以先将rootkit、特制的su，已修改过属性的shell放在他自己的ftp服务器上，得到普通账户后直接上传到你的机器上并执行之，他就root了。简单吧?

首页 上一页 [5] [6] [7]  下一页 尾页