想要知道Unix操作系統(tǒng)的是否被入侵，我們就應該知道如何檢查Unix操作系統(tǒng)文件的完整性相關的知識。在這里，我們來簡單的介紹下，希望對大家有用。

Unix操作系統(tǒng)檢查文件的完整性有多種方法，通常我們通過輸入ls –l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢，查詢的結(jié)果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來獲得更多的格式。

Unix操作系統(tǒng)中，/bin/login是被入侵者經(jīng)常替換作為后門的文件，接下來談一下login后門 ：

Unix操作系統(tǒng)里，Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令，它將忽視管理員設置的口令讓你長驅(qū)直入：這將允許入侵者進入任何賬號，甚至是root目錄。

由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個訪問，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后，使用”strings”命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。

所以許多管理員利用MD5校驗和檢測這種后門。Unix操作系統(tǒng)中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：md5sum –b 使用二進制方式閱讀文件；md5sum –c 逆向檢查MD5簽名；md5sum –t 使用文本方式閱讀文件。

在前面提到過守護進程，對于守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細比較。

舉個簡單的例子，如果你開放了telnet服務，守護進程配置文件中就會有一句：
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過替換守護進程中允許的服務文件來為自己創(chuàng)建一個后門。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細閱讀該文件有沒有被入侵者利用來做其他的事情。

不替換login等文件而直接使用進程來啟動后門的方法有一個缺陷，即Unix操作系統(tǒng)一旦重新啟動，這個進程就被殺死了，所以得讓這個后門在系統(tǒng)啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統(tǒng)啟動的時候是不是帶有后門程序。

說到這里，另外提一下，如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個表明任何用戶進來以后運行這個文件都可以獲得一個rootshell，這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找，然后刪除這樣的文件。

好了，這次關于檢查Unix操作系統(tǒng)文件的完整性的一些知識就介紹到這里，希望大家看完之后更加的熟練運用。

【編輯推薦】

1. Unix操作系統(tǒng)中命令行介紹
2. Unix操作系統(tǒng)基礎知識
3. Unix操作系統(tǒng)服務器一般問題提示及含義
4. Unix操作系統(tǒng)上機基本操作解說
5. 舉例說明Unix操作系統(tǒng)維護問題