介绍Linux服务器是否被黑客攻击的检测知识

 　 一不留神而被黑确实让人感到为难，更严重的是某些脚本小子还会在你的Linux服务器下载一些众所周知的“rootkits”或者流行的刺探工具，这些被黑客攻击都占用了你的CPU，存储器，数据和带宽。这些坏人是从那里开始着手的呢？这就要从rootkit开始说起,同时为你介绍怎样知道Linux服务器是否被黑客攻击的相关检测知识。

　　一个rootkit其实就是一个软件包，黑客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个黑客能够以root的身份访问你的机器，一切都完了。唯一可以做就是用最快的效率备份你的数据，清理硬盘，然后重新安装操作系统。无论如何，一旦你的机器被某人接管了要想恢复并不是一件轻而易举的事情。

　　你能信任你的ps命令吗？

　　找出rootkit的首个窍门是运行ps命令。有可能对你来说一切都看来很正常。图示是一个ps命令输出的例子。真正的问题是，“真的一切都正常吗？”黑客常用的一个诡计就是把ps命令替换掉，而这个替换上的ps将不会显示那些正在你的机器上运行的非法程序。为了测试个，应该检查你的ps文件的大小，它通常位于/bin/ps。在我们的Linux机器里它大概有60kB。我最近遇到一个被rootkit替换的ps程序，这个东西只有大约12kB的大小。

　　另一个明显的骗局是把root的命令历史记录文件链接到/dev/null。这个命令历史记录文件是用来跟踪和记录一个用户在登录上一台Linux机器后所用过的命令的。黑客们把你的历史纪录文件重定向到/dev/null的目的在于使你不能看到他们曾经输入过的命令。

　　你可以通过在shell提示符下敲入history来访问你的历史记录文件。假如你发现自己正在使用history命令，而它并没有出现在之前使用过的命令列表里，你要看一看你的~/.bash_history文件。假如这个文件是空的，就执行一个ls-l~/.bash_history命令。在你执行了上述的命令后你将看到类似以下的输出：

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点