如果你安裝了所有正确更新檔擁有經過測試防火牆,并且在多個級别都激活了先進入侵檢測系統,那麼隻有在種情況下你還會被黑那就是你太懶了,以至沒去做該做事情。不留神而被黑确實讓人感到為難更嚴重是某些腳本小鬼還會下載下傳些衆所周知“root kits”或者流行刺探工具這些都占用了你CPU存儲器資料和帶寬這些壞人是從那裡開始着手呢?這就要從root kit開始說起 。
root kit實際上就是個Software軟體包。黑客利用它來提供給自己對你機器具有root級别通路權限。這個黑客能夠以root身份通路你機器切都完了唯可以做就是用最快效率備份你資料清理硬碟然後重新安裝作業系統無論如何旦你機器被某人接管了要想恢複并不是件輕而易舉事情 。
你能信任你ps指令嗎?
找出root kit首個竅門是運作ps指令有可能對你來說切都看來很正常圖示是個ps指令輸出例子真正問題是“真切都正常嗎?”黑客常用個詭計就是把ps指令替換掉而這個替換上ps将不會顯示那些正在你機器上運作非法為了測試個應該檢查你ps檔案大小它通常位于 /bin/ps在我們Linux機器裡它大概有60kB我最近遇到個被root kit替換ps這個東西隻有大約12kB大小
另個明顯騙局是把root指令曆史記錄檔案連結到/dev/null這個指令曆史記錄檔案是用來跟蹤和記錄個使用者在登入上台Linux機器後所用過指令黑客們把你曆史紀錄檔案重定向到/dev/null目在于使你不能看到他們曾經輸入過指令
你可以通過在 shell提示符下敲入history來通路你曆史記錄檔案假如你發現自己正在使用history指令而它并沒有出現在的前使用過指令清單裡你要看看你~/.bash_history 檔案假如這個檔案是空就執行個ls -l ~/.bash_history指令在你執行了上述指令後你将看到類似以下輸出:
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
又或者你可能會看到類似以下輸出:
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
假如你看到是第 2種就表明這個 .bash_history 檔案已經被重定向到/dev/null這是個緻命資訊現在就立即把你機器從Internet上斷掉盡可能備份你資料并且開始重新安裝系統
尋找未知使用者賬号
在你打算對你Linux機器做次檢測時候首先檢查是否有未知使用者賬号無疑是明智在下次你登入到你Linux機器時敲入以下指令:
grep :x:0: /etc/passwd
隻有行我再強調遍在個标準Linux安裝裡grep指令應該隻傳回行類似以下:
![【釋出】App Store 預覽視訊制作總結知乎專欄:AppStore預覽視訊制作心得[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)