微信公众号：计算机与网络安全

▼

1、Solaris高级检测技术规范

针对Solaris高级攻击技术和隐藏技术进行检测。

（1）检测缓冲区溢出攻击

检测core文件，（find / -name “core”–print）；

系统在受到缓冲区溢出攻击后，多会留下core 文件。分析core 文件可以得到一些线索，如图1所示。

图1  Core文件分析

检查系统日志，溢出攻击一般会在日志中留下记录。

检查是否有可能存在溢出的服务，如匿名ftp服务、telnet服务等。检查它们是否有当掉等，有些rpc服务会在被溢出后当掉。

（2）检测rootkit（内核后门）

① 使用chkrootkit工具检测已知的rootkit、worm等

检测界面如图2所示。

图2  使用chkrootkit工具的检测界面

② 查找没有属主的文件（find / -nouser –o –nogroup –print）

③ 查找隐藏文件（ find / -name ‘.*’–print）

与系统快照进行对比, 检测文件是否改变；

使用lsof检测文件和进程关联；

其查找界面如图3所示。

图3  隐藏文件查找界面

④ 检测可加载内核模块后门

/usr/sbin/modinfo, 与系统快照进行对比。

查找不正常的内核模块，如ID不正常，出现不连续的模块ID等。其检测界面如图4所示。

图4  可加载内核后门检测界面

⑤ 检测login后门

使用MD5检测/usr/bin/login并与快照进行对比；

使用strings查看可疑字串。

其检测界面如图5所示。

图5  login后门检测界面

⑥ 检测su后门

使用MD5检测su并与快照进行对比；

使用strings查看可疑字串。

其检测界面如图6所示。

图6  su后门检测界面

2、Unix高级检测技术案例

针对Unix高级攻击技术和隐藏技术进行检测的案例。

（1）情况描述

这是某省信息港Solaris 8 Sparc主机被人植入rootkit，系统文件被替换的情形。通过基本的检测没有发现不正常现象。因此要采取一些高级的检测方式检测。

（2）案例分析

缓冲区溢出攻击的检测，其检测界面如图7所示。

图7  缓冲区溢出攻击的检测界面

通过检查core文件，没有发现什么；

检查rootkit；

通过chkrootkit检查，没有发现异常。

查找没有属主的文件；

查找隐藏文件，查找界面如图8所示，未发现异常；

图8  隐藏文件查找界面

与系统快照进行对比, 检测文件是否改变；

使用lsof检测文件和进程关联，其界面如图9所示。

图9  lsof检测界面

这里是lsof | grep *: 的输出结果。在最下面一行标记，发现名为sendmail的进程，监听TCP：2457端口，正常情况Sendmail不会开这么高的端口。

继续检测telnet localhost 2457，其检测界面如图10所示。发现是SSH服务端，并且改了个sendmail的名字，确认为被入侵并被安装了rootkit后门。

图10  telnet localhost 2457检测

（3）总结

在基本检测中，没有发现它的可见rootkit隐藏了端口和进程（通过替换netstat和ps文件）。这里查出了rootkit。其实可以用干净的备份系统命令做一下验证。

图11是从应急响应盘拷贝过来的netstat的输出，可以看到2457端口在监听。

图11  netstat的输出

检测可加载内核模块后门；

通过与快照对比检测，没有发现什么异常；

检测sendmail配置后门；

没有发现异常；

检测/usr/bin/login，通过与快照对比检测，发现文件被替换了；

检测/usr/bin/su，通过与快照对比检测，没有发现什么异常。

▲
- The end -

网络安全资料列表

原文始发于微信公众号（计算机与网络安全）：网络安全应急响应：Unix系统高级检测