网络安全 频道

我入侵你 !你怎么查到我?

比如.我用3389远程登陆了你的机器..你一般用什么办法.查到我?我如果把GUEST改为管理权限..那你又怎么办? 而且.我会清空日志的..

"回复:我入侵你 !你怎么查到我?"

1、检查系统密码文件 :查看一下passwd文件,ls –l /etc/passwd查看文件修改的日期。输入命令 awk –F:’$3==0 {print }’ /etc/passwd来检查一下passwd文件中有哪些特权用户。顺便再检查一下系统里有没有空口令帐户:awk –F: ‘length()==0 {print }’ /etc/shadow
2、查看有没有奇怪的进程:ps –aef | grep inetd 。尤其注意有没有以. x开头的进程。
3、检查系统守护进程:输入:cat /etc/inetd.conf | grep –v “^#”
4、检查网络连接和监听端口:分别用输入netstat -an,netstat –rn, ifconfig –a等来检查。
5、检查系统日志:晕,被楼主做手脚啦,此项去掉。
6、检查系统中的core文件:输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性:rpm –V `rpm –qf 文件名` 来查询,哈哈,方法是简单些,但有时也有效。
8、检查内核级后门:首先,检查系统加载的模块,根据不同的系统,使用lsmod命令或modinfo命令来查看。此法好累。

http://www.hack58.net/Article/60/61/2006/12311.htm

0
相关文章