|
发表于 2010-9-16 13:29:33
|
显示全部楼层
回复【38楼】gzhuli 咕唧霖
回复【35楼】gongnn 魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
你还没见过狠的,入侵后直接植入内核模块,隐藏木马进程和文件,接着后门大开……
然后你进入系统,看了一圈没发现异常,插上网线回去睡觉,一台肉鸡就此诞生。
我曾经帮人处理过一台linux服务器,就是这个状况,进去看系统一切正常,但硬防火墙检测到不正常的流量,而系统找不到对应的端口占用。后来用live cd进去才发现,所有/bin和/sbin下面的文件都被改过了,在原系统运行ls,ps,netstat这些命令看到的结果全是动过刀的。
所以系统怀疑被入侵后,安全的做法是启动一个独立的系统(winpe或linux live cd),然后对系统关键文件做一次md5校验……
-----------------------------------------------------------------------
这点上,确实 Linux 有相当的不足(Windows 就不考虑了……)
如果是 BSD 系统,哪怕在最坏的情况下(入侵者已经夺取了 root 权限,并开了一个不受监控的远程控制台),也可以通过 securelevel 和 user defined flags 的配合,阻止任何安装 rootkit 的尝试,这样,哪怕入侵者留下后门,也只能经由相对麻烦和不稳妥的方式,也至少能保证,只要不启动任何定制 daemon,在本地控制台登录的 root 用户得到的一定是一个干净的系统(虽然 daemon 的数据和程序都不能确定安全) |
|