| 攻击者进入受害系统后,一般会对系统文件进行修改,以利于后续攻击或控制。网络管理员通过对系统配置文件检查分析,可以发现攻击者对受害系统的操作。例如,在UNIX系统中,网络管理员需要进行下列检查:
|
|
|
| . 检查/etc/passwd文件中是否有可疑的用户。
|
|
|
| . 检查/etc/inet.conf文件是否被修改过。
|
|
|
| . 检查/etc/services文件是否被修改过。
|
|
|
| . 检查r命令配置/etc/hosts.equiv或者.rhosts文件。
|
|
|
| . 检查新的SUID和SGID文件,使用find命令找出系统中的所有SUID和SGID文件,如下:
|
|
|
|
|
| 对于Windows系统,除了利用系统自带的事件查看器之外,还可以使用第三方安全工具,如PCHunter、火绒剑等。如下图所示,通过使用火绒剑检查Windows系统的进程状况。
|
|
|
|
|
|
|
