电脑技术学习

UNIX应急响应攻略

dn001

  被攻击的一方完全超越,e4gle很早也写过这类文章。

  有兴趣可以看看2002焦点峰会jbtzhm的《内核后门实现及其检测》

  现在Linuxforum安全版版主madsys在Phrack61上有篇文章:

  Finding hidden kernel modules (the extrem way)--链接:

  http://www.linuxforum.net/forum/gshowflat.php?Cat=&Board=security&Number=434871&page=0&vIEw=collapsed&sb=5&o=all&fpart=

  ======================

  检测开放端口和关联进程

  ======================

  [root@ay4z3ro foo]# netstat –anp

  Active Internet connections (servers and established)

  Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

  tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/

  tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 908/X

  tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 880/sshd

  udp 0 0 0.0.0.0:111 0.0.0.0:* 620/

  Active Unix domain sockets (servers and established)

  Proto RefCnt Flags Type State I-Node PID/Program name Path

  unix 2 [ ACC ] STREAM LISTENING 2753 756/ /tmp/.font-unix/fs-1

  ……(以下省略)

  在Solaris,HP-UX,AIX,FreeBSD,Linux上可以使用lsof工具列举所有运行进程及其所打开的文件描述符,其中包括常规文件,

  库文件,目录,UNIX流,套接字等。如果只想显示网络套接字的进程:

  [root@ay4z3ro foo]# lsof –i

  COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

  portmap 620 rpc 3u IPv4 2598 UDP *:sunrpc

标签: