linux×××溯源之發現:侵則生變(版本1)(如果這一版感覺上去很廢話,下一版會寫的具體點)
阿新 • • 發佈:2018-08-24
找到你 查看 如果 經驗 差異 理論 正常 而且 inux 說到linux的發現,那麽很容易聯想到linux的各種日誌,通過日誌確實可以發現很多問題,也能發現linux是否被,如何被。那麽如果linux沒開啟日誌呢?日誌被刪呢?常規方法只適用於常規的事件。疑難雜癥只能靈丹妙藥(奇淫異巧)。
正如殺毒軟件一樣,新的病毒的出現總會存活那麽一段時間,像漏洞一樣,新出的漏洞在一段時間內是非常好用的。但是當方法公布,秘密不再是秘密,方法就只能當作方法了,當作理論研究被寫成文字。本文從方法和途徑上說說Linux被後的發現方法。主要是各屬性的統一和差異性。
如果說正常的系統是不變的,那麽,系統被後的變化便是發現系統被的根本,下面從以下幾個方面的變化說說被了的系統的變化之處,有誤的地方還請各位指出。
正如殺毒軟件一樣,新的病毒的出現總會存活那麽一段時間,像漏洞一樣,新出的漏洞在一段時間內是非常好用的。但是當方法公布,秘密不再是秘密,方法就只能當作方法了,當作理論研究被寫成文字。本文從方法和途徑上說說Linux被後的發現方法。主要是各屬性的統一和差異性。
如果說正常的系統是不變的,那麽,系統被後的變化便是發現系統被的根本,下面從以下幾個方面的變化說說被了的系統的變化之處,有誤的地方還請各位指出。
- 文件有變化
- 可疑的進程
- 流量有變化
- 業務內容有變化
文件的變化,一個系統被*後,若×××留有後門,則必然導致文件的改變,有人會說統計文件的hash 可以發現文件的改變。但是這裏存在一個問題,不是每個系統管理員都會去記錄這個hash,且hash記錄後隨著系統的更新某系關鍵文件也會變化,那麽這樣會存在誤報。而且根據hash特別是md5這種hash來做文件校驗本身就存在風險,md5這種hash已經被王小雲教授在2006年以碰撞的方式破解了,簡單說,可以找到兩個不同的文件擁有相同的hash。hash的變化說的是文件內容的變化,那麽文件除了hash外還有哪些屬性?如果是目錄呢?顯然這裏hash已經不能應付了。我們可以把各種屬性列出來,從以下幾個方面觀察。
- 統一性:跟正常系統是否一樣,跟周圍文件是否形成了統一。統一後有兩種可能:1、被*了,×××將文件各種屬性該成一致,這種情況總會有漏網的。2、系統正常。
- 差異性:跟周圍文件的屬性是否有差異,差異的地方就是有問題的地方。
可疑進程,如果系統被*後,如果×××添加了後門,那麽系統進程會發生變化的,且不討論rootkit這種情況,如果是rootkit就很難說了,它能隱藏很多關鍵信息。我們總會發現linux查看異常進程用ps 然後觀察異常進程,那麽哪些是異常進程?怎麽區分?教科書裏可能就止於異常進程了,判斷異常難道要靠經驗?異常進程還是有方法的區分的:
- 一是上面說的文件的變化,對於篩選出來的文件列入可疑文件重點懷疑,且要記住那些異常文件的屬性,把屬性信息加載到你的大腦,這樣遇到其他有類似的情況能快速反應,進程和文件有類似的屬性,通過屬性對比來發現異常進程。
- 二是進程間的屬性對比,找出其統一性和差異性。
- 三是用殺毒軟件
流量的變化,也要從統一和差異來看。流量具體體現在網絡連接相關的五元組,針對五元組的屬性分析其統一和差異性,能找到你想要的異常的。這裏舉兩個例子:
- 一、絕大部的連接均是來自國內,那麽來自國外的就很可疑了。
- 二、連接發起的進程是否在異常列表。
業務內容有變化,例如網站被篡改,被掛×××或非法廣告。
(完)
linux×××溯源之發現:侵則生變(版本1)(如果這一版感覺上去很廢話,下一版會寫的具體點)