发布时间 : 星期三 文章网络与信息安全应急响应技术规范与指南更新完毕开始阅读
QB-XX-XXX-2004
这个命令是查看administrators管理员组里有哪些用户,发现iwam_cnns是administrator权限,经与快照对比确认,iwam_cnns是非法新增用户。 接下来net user 查看所有用户: D:\\>net user
\\\\SECURITY 的用户帐户
------------------------------------------------------------------------------- Administrator bobo Guest
IUSR_CNNS IWAM_CNNS TsInternetUser
然后在计算机组件里查看所有用户
发现计算机组件里有一个ipc$,用net user是看不到这个ipc$帐号的,这是个非正常现象,系统维护人员确定了这个帐号是被黑客创建的隐藏的帐号。 2.3.2 Unix系统高级检测技术规范
2.3.2.1 Solaris高级检测技术规范
针对Solaris高级攻击技术和隐藏技术进行检测 1) 检测缓冲区溢出攻击
检测core文件, (find / -name ―core‖ –print)
系统在受到缓冲区溢出攻击后,多会留下core 文件.分析core 文件可以得到一些线索
第 45 页 共 89 页
QB-XX-XXX-2004
检查系统日志,,溢出攻击一般会在日志中留下记录
检查是否有可能存在溢出的服务, 如匿名Ftp服务, telnet服务等, 检查它们是否有当掉等, 有些rpc服务会在被溢出后当掉。 2) 检测rootkit(内核后门)
a.使用chkrootkit工具检测已知的rootkit、worm等 这个工具可在这里下载(这是for Solaris8 x86的):
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/chkrootkit-0.42b-sol8-intel-local.gz
b.查找没有属主的文件(find / -nouser –o –nogroup –print) c查找隐藏文件( find / -name ?.*‘ –print) 与系统快照进行对比, 检测文件是否改变 使用lsof检测文件和进程关联
第 46 页 共 89 页
QB-XX-XXX-2004
这个工具可在这里下载(这是for Solaris 8 x86的):
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/lsof-4.68-sol8-intel-local.gz
e 检测可加载内核模块后门
/usr/sbin/modinfo, 与系统快照进行对比
查找不正常的内核模块,比如id 不正常, 出现不连续的模块id等
f.检测login后门
使用md5检测/usr/bin/login并与快照进行对比 使用strings查看可疑字串
第 47 页 共 89 页
QB-XX-XXX-2004
g检测su后门
使用md5检测su并与快照进行对比 使用strings查看可疑字串
2.3.2.2 Unix高级检测技术案例
针对Unix高级攻击技术和隐藏技术进行检测的案例 情况描述: 这是某省信息港Solaris 8 Sparc主机被人植入rootkit,系统文件被替换的情形。通过基本的检测没有发现不正常现象。因此要采取一些高级的检测方式检测。 案例分析:
缓冲区溢出攻击的检测
第 48 页 共 89 页